C'est à en devenir fou...Fermé

Question

Bonjour à tous,

Bon, je vous explique le problème:
Je viens de reformater mon pc car il était blindé de virus, logiciels publicitaires, spywares, etc...

Or, les problèmes sont revenus, et je ne comprends pas comment c'est possible, puisque suite au reformatage, la première chose que j'ai faite a été d'installer Norton avec le live-update, spybot, et adaware.
Quoi qu'il en soit, norton ne démarre plus, adaware fait sauter l'ordi lorsqu'il supprime ce qu'il trouve (de plus en plus a chaque fois), et spybot n'arrive a ne rien effacer, même lorsqu'il dit qu'il va réessayer au prochain démarrage.
Lorsque que je fait la même chose en mode sans echec, presque tout est effacé mais tout se réinstalle au démarrage suivant... Et c'est chaque fois pire!

Que faire? Une idée pour éviter toutes ces fenêtres intempestives, et supprimer toutes les lignes apparaissant dans ctrl+shift+echap et qui ralentissent l'ordi jusqu'à bloquer certaines applications?

Merci d'avance,

Arnaud

^^Marie^^ · Answer

Bonsoir,
Commençe par supprimer Norton et installe avast! (Norton est un nid de m***), si tu l'as acheté j'en suis désolée.
Regarde par là :

http://www.commentcamarche.net/faq/sujet-35-Anti-virus-gratuits-lequel-choisir

Bon courage
tiens nous au courant
A+

Nono · Answer

Ce serait donc la faute de Norton? A ce prix là, ce n'est même plus du vol!!!

Bon, quoi qu'il en soit, j'ai téléchargé avast. Mais pour l'installer, il faut désinstaller Norton, or, interdit de le faire en mode sans echec, et impossible en mode normal car il est en cours d'utilisation... Et enfin, impossible de l'arrêter, car comme je le disais, norton ne se lance plus au démarrage, et depuis peu, impossible d'accéder au contrôle ctrl+shift+echap pour accéder aux tâches... Oui, de moins en moins de chose fonctionnent, c'est de pire en pire... Il n'y a plus qu'internet qui marche (pour l'instant)...

Que faire donc pour me débarasser de tout ce basard?
Y a quelque temps, on m'avait donné sysclean et hijack this (en plus de Adware et Spybot). Je ne m'en suis jamais servi. C'est utile?

^^Marie^^ · Answer

bon fait ceci

télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

les pro arrivent

Nono · Answer

Ok, c'est installé...Par contre impossible de le lancer... Je pense que ça plante au même titre que ctrl+shift+echap, ou norton, ou même msconfig...Je peux le lancer en mode sans échec?

Nono · Answer

Ok... Alors là... Ca devient très grâve... Je vous écrit en direct depuis mon ordi portable...

J'ai pris l'initiative de lancer l'ordi fixe en mode sans echec pour lancer hijackthis.
Au moment de redémarrer l'ordi en mode normal il me lance un grand écran bleu avec:

Un problème a été détecté et windows a été arrêté afin de prévenir de tout dommage sur votre ordinateur

UNMOUNTABLE_BOOT_VOLUME

etc...

Depuis, à chaque fois que je redémarre, que ce soit mode sans échec, mode normal ou dernière config connue, j'ai le même message... Sinon j'ai invite commande en mode sans échec,mais je sais pas ce que c'est...

Je panique un peu, car c'est un ordi professionnel, sur lequel il y a des choses très importantes que je ne peux me permettre de perdre...

Que faire?

bernie61 · Answer

salut
Ecran Bleu avec ce message d'erreur : "INACCESSIBLE_BOOT_DEVICE ".
Appliquer ceci :
a. redémarrer l’ordi avec le CD WinXP en lançant la console de récupération (touche R)
b. ensuite taper la commande : CHKDSK /r
c. et enfin taper la commande : FIXBOOT
d. redémarrer l’ordi et l’écran bleu n’est plus là, youpi
a+

Nono · Answer

ça a mis le temps, mais ça a marché...Merci Bernie61, t'es un chef! Bon, entre temps, je suis parvenu a retourner en mode sans échec.Dans msconfig, j'ai décoché une 15aine de lignes (qui réapparaitront surement d'ici 2 ou 3 redémarrage) et j'ai redémarré en mode normal.Depuis, la commande ctrl+shift+echa refonctionne, et hijack aussi. J'ai cliqué sur "do a system scan and save logfile" et un fichier texte s'affiche. Voici le copié/collé:Logfile of HijackThis v1.99.1Scan saved at 22:33:43, on 17/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\QXJuYXVk\command.exeC:\WINDOWS\dlhost.exeC:\WINDOWS\ipconfg32.exeC:\WINDOWS\msiconfig.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\shost.exeC:\WINDOWS\system32\pnpsp2fix.exeC:\WINDOWS\windat.exeC:\WINDOWS\system32\wincntrl.exec:\program files	imbuktu pro	b2launch.exeC:\WINDOWS\system32undll32.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\System32\xpjava.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\WinTV\WinTV2K.EXEC:\WINDOWS\system32\cmd.exeC:\WINDOWS\TEMP\MG.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\HijackThis.exeF2 - REG:system.ini: UserInit=userinit.exe,xpjava.exeO2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\awtqn.dllO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exeO4 - HKLM\..\Run: [TLogonPath] "c:\program files	imbuktu pro\minitb2.exe"O4 - HKLM\..\Run: [Media Gateway] C:\WINDOWS\TEMP\MG.exeO4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exeO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO20 - Winlogon Notify: awtqn - C:\WINDOWS\SYSTEM32\awtqn.dllO20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dllO20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\hrn8055ue.dllO20 - Winlogon Notify: Timbuktu Pro - c:\program files	imbuktu pro\Hook32.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QXJuYXVk\command.exeO23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exeO23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exeO23 - Service: MS Ins Config (MSiCFG) - Unknown owner - C:\WINDOWS\msiconfig.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exeO23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files	imbuktu pro	b2launch.exeO23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\windat.exeO23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe

bernie61 · Answer

re
y a un sacré boulot, lol

0. Installe ce nettoyeur CCLEANER http://www.ccleaner.com/ ou lien direct là http://www.filehippo.com/download_ccleaner.html (la flèche)
Tutorial là http://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
ensuite
*Configure ton ordi pour tous scan à exécuter complétement, il faut pouvoir scanner tous les dossiers caché et système donc faire :
Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers

Installer L2mfix là
http://www.atribune.org/downloads/l2mfix.exe
http://www.downloads.subratam.org/l2mfix.exe
1. extraire le fichier sur le bureau
2. désactiver l’antivirus (car process est détecté faussement comme virus malware par certains antivirus)
3. lancer l2mfix.bat et sélectionner l’option #1 et faire Enter pour faire apparaître le log (cela prend qqs minutes)
4. Copie le log et colle ici
5. Fermes toutes tes fenêtres windows
6. Relances l2mfix.bat et sélectionne l’option #2
7. l’ordi va redémarrer automatiquement sinon le faire manuellement
8. Recopie le log et colle-le à nouveau ici
9. Lances un Hijackthis http://www.merijn.org/files/hijackthis.zip
tu le lances « Do a system scan and save log » et tu copie/colle le rapport ici (avec cliq droit de la souris).

1. Tu connais ça ? non, alors vérifie (cliq droit souris/propriété) si inconnu ZIP compresse le fichier et efface le .EXE (sinon à vérifier là http://virusscan.jotti.org/ fichier par fichier Parcourir puis SEND lance ce multiple scanneur antivirus)
C:\WINDOWS\TEMP\MG.exe >> ???

2. Relances Hijackthis et coche (puis FIX)
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\awtqn.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dll
O4 - HKLM\..\Run: [Media Gateway] C:\WINDOWS\TEMP\MG.exe > si inconnu
O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe
O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe
O20 - Winlogon Notify: awtqn - C:\WINDOWS\SYSTEM32\awtqn.dll
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dll
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\hrn8055ue.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QXJuYXVk\command.exe
O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe
O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe
O23 - Service: MS Ins Config (MSiCFG) - Unknown owner - C:\WINDOWS\msiconfig.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe
O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe
O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\windat.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe

3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
C:\WINDOWS\QXJuYXVk\command.exe
C:\WINDOWS\dlhost.exe
C:\WINDOWS\ipconfg32.exe
C:\WINDOWS\msiconfig.exe
C:\WINDOWS\shost.exe
C:\WINDOWS\system32\pnpsp2fix.exe
C:\WINDOWS\windat.exe
C:\WINDOWS\system32\wincntrl.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\awtqn.dll
C:\WINDOWS\System32\jkhhg.dll
C:\WINDOWS\TEMP\MG.exe > si inconnu
C :… msnger.exe
C:\WINDOWS\system32\hrn8055ue.dll

4. fais Démarrer/exécuter et là tappes SERVICES.MSC pour arrêter les services suivants :
(double cliq sur le service incriminé puis cliq ARRETER et DESACTIVER à type de démarrage)
Service: Command Service (cmdService) - Unknown owner -
Service: DynamicHost (DLHOST) - Unknown owner –
Service: IpManager (IPtable) - Unknown owner
Service: MS Ins Config (MSiCFG) - Unknown owner
Service: Service Hosts (ServiceHost) - Unknown owner –
Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner -
Service: Windows Archiver (winarc) - Unknown owner -
Service: MS Dns Service (WinNet) - Unknown owner -

5. vider les répertoires temps et la corbeille, en lançant Ccleaner
Refais un hijackthis de contrôle et dis nous où en sont les problèmes…
a+

Nono · Answer

J'ai fait tou ce que tu as dit. Voici ce que tu m'as demandé:

Concernant L2mfix:

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtqn]
"Asynchronous"=dword:00000001
"DllName"="awtqn.dll"
"Impersonate"=dword:00000000
"Logon"="Logon"
"Logoff"="Logoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkhhg]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\System32\\jkhhg.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\hrn8055ue.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Timbuktu Pro]
"DLLName"="c:\\program files\\timbuktu pro\\Hook32.dll"
"Login"="TB2EventLogin"
"Logoff"="TB2EventLogoff"
"Lock"="TB2EventLock"
"Unlock"="TB2EventUnlock"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{F9FA3F36-F5FA-9858-07BD-78EF15EA68D2}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Extension de la page de propri‚t‚s de mise … jour automatique"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Dossiers Web"
"{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}"="My Logitech Pictures"
"{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}"=""
"{489BFF1E-594B-4024-8F86-6F80DFD63785}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}\InprocServer32]
@="C:\\WINDOWS\\system32\\oibc32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{489BFF1E-594B-4024-8F86-6F80DFD63785}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{489BFF1E-594B-4024-8F86-6F80DFD63785}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{489BFF1E-594B-4024-8F86-6F80DFD63785}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{489BFF1E-594B-4024-8F86-6F80DFD63785}\InprocServer32]
@="C:\\WINDOWS\\system32\\3uvxVfWCodec.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:
Directory Listing of system files:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 8019-8BED

R‚pertoire de C:\WINDOWS\System32

17/11/2005 23:03 380ÿ672 ghhkj.ini2
17/11/2005 22:29 28ÿ173 ddcya.dll
17/11/2005 22:27 27ÿ661 pmkjk.dll
17/11/2005 22:24 236ÿ246 3uvxVfWCodec.dll
17/11/2005 22:23 236ÿ246 i8240ifqe82e0.dll
17/11/2005 22:20 236ÿ246 hrn8055ue.dll
17/11/2005 22:19 236ÿ246 iq32_32.dll
17/11/2005 22:19 236ÿ945 lvr6099se.dll
17/11/2005 21:28 391ÿ897 ghhkj.bak2
17/11/2005 21:27 236ÿ246 jkcript.dll
17/11/2005 21:27 237ÿ010 p46s0ej7eho.dll
17/11/2005 21:22 236ÿ032 wincntrl.exe
17/11/2005 21:19 236ÿ432 l68m0gl1e6q.dll
17/11/2005 21:16 234ÿ087 p8p6li7s18.dll
17/11/2005 20:43 28ÿ173 gebcy.dll
17/11/2005 20:37 234ÿ272 gpp8l37u1.dll
17/11/2005 20:06 28ÿ173 vturq.dll
17/11/2005 20:04 234ÿ598 h62o0gf3e62.dll
17/11/2005 19:54 28ÿ173 mljgh.dll
17/11/2005 19:51 235ÿ781 mv0ql9d51.dll
17/11/2005 17:56 28ÿ173 vtstr.dll
17/11/2005 17:39 <REP> dllcache
17/11/2005 17:20 28ÿ173 ssqpn.dll
17/11/2005 17:12 28ÿ173 vtsqr.dll
17/11/2005 17:08 379ÿ738 ghhkj.ini
17/11/2005 17:03 379ÿ728 ghhkj.tmp
17/11/2005 17:01 28ÿ173 vtsqo.dll
16/11/2005 20:33 28ÿ173 pmnnk.dll
16/11/2005 20:19 28ÿ173 vturp.dll
16/11/2005 19:36 104ÿ448 rwnt.exe
16/11/2005 17:52 28ÿ173 ssqpm.dll
16/11/2005 16:34 28ÿ173 ddaba.dll
16/11/2005 16:01 28ÿ173 awvvw.dll
16/11/2005 08:30 28ÿ173 vturs.dll
16/11/2005 00:37 28ÿ173 pmkji.dll
16/11/2005 00:02 28ÿ173 vtstu.dll
15/11/2005 23:06 28ÿ173 vtutt.dll
15/11/2005 21:30 28ÿ173 mlljh.dll
15/11/2005 20:38 28ÿ173 vtutu.dll
15/11/2005 17:33 28ÿ173 pmnlk.dll
15/11/2005 17:05 28ÿ173 mljjh.dll
10/11/2005 18:47 28ÿ173 jkklm.dll
10/11/2005 18:23 28ÿ173 pmnlj.dll
10/11/2005 17:47 28ÿ173 pmkjh.dll
10/11/2005 09:55 28ÿ173 awvtu.dll
09/11/2005 19:45 28ÿ173 ssqro.dll
09/11/2005 19:40 28ÿ173 awtqo.dll
09/11/2005 19:35 28ÿ173 ddccd.dll
09/11/2005 19:30 28ÿ173 sstqq.dll
09/11/2005 19:29 268ÿ782 ghhkj.bak1
09/11/2005 19:25 28ÿ173 gebcb.dll
09/11/2005 19:15 28ÿ173 gebya.dll
09/11/2005 19:00 28ÿ173 mllji.dll
09/11/2005 18:55 28ÿ173 geedc.dll
09/11/2005 07:28 544ÿ788 jkhhg.dll
08/11/2005 20:22 28ÿ173 sstqo.dll
08/11/2005 20:12 28ÿ173 geedb.dll
08/11/2005 20:07 28ÿ173 awtsq.dll
08/11/2005 19:52 28ÿ173 gebyw.dll
08/11/2005 19:47 28ÿ173 vturo.dll
08/11/2005 19:42 28ÿ173 vtstq.dll
08/11/2005 19:33 28ÿ173 awvvv.dll
08/11/2005 19:22 28ÿ173 mljge.dll
08/11/2005 19:17 28ÿ173 jkklj.dll
08/11/2005 19:12 28ÿ173 gebyx.dll
08/11/2005 19:02 28ÿ173 ddcyw.dll
08/11/2005 18:58 28ÿ173 ssttu.dll
08/11/2005 18:57 28ÿ173 pmnno.dll
08/11/2005 18:47 28ÿ173 vtstt.dll
08/11/2005 18:42 28ÿ173 jkhhf.dll
08/11/2005 18:39 28ÿ173 gebcd.dll
04/11/2005 00:42 122ÿ880 BHSV.EXE
27/10/2005 09:04 <REP> Microsoft
28/08/2001 13:00 173ÿ568 xpjava.exe
72 fichier(s) 7ÿ221ÿ026 octets
2 R‚p(s) 14ÿ438ÿ113ÿ280 octets libres

Après redémarrage:

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtqn]
"Asynchronous"=dword:00000001
"DllName"="awtqn.dll"
"Impersonate"=dword:00000000
"Logon"="Logon"
"Logoff"="Logoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Hints]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\i8240ifqe82e0.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkhhg]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\System32\\jkhhg.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Timbuktu Pro]
"DLLName"="c:\\program files\\timbuktu pro\\Hook32.dll"
"Login"="TB2EventLogin"
"Logoff"="TB2EventLogoff"
"Lock"="TB2EventLock"
"Unlock"="TB2EventUnlock"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-CI) DENY --C------- BUILTIN\Administrateurs
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{F9FA3F36-F5FA-9858-07BD-78EF15EA68D2}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Extension de la page de propri‚t‚s de mise … jour automatique"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Dossiers Web"
"{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}"="My Logitech Pictures"
"{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}"=""
"{489BFF1E-594B-4024-8F86-6F80DFD63785}"=""
"{68A2C89B-D8DF-41AB-A02C-703CFD182349}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{AD0FE17E-A2F3-41B7-B7C1-5CB8BE508D67}\InprocServer32]
@="C:\\WINDOWS\\system32\\oibc32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{489BFF1E-594B-4024-8F86-6F80DFD63785}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{489BFF1E-594B-4024-8F86-6F80DFD63785}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{489BFF1E-594B-4024-8F86-6F80DFD63785}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{489BFF1E-594B-4024-8F86-6F80DFD63785}\InprocServer32]
@="C:\\WINDOWS\\system32\\3uvxVfWCodec.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{68A2C89B-D8DF-41AB-A02C-703CFD182349}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{68A2C89B-D8DF-41AB-A02C-703CFD182349}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{68A2C89B-D8DF-41AB-A02C-703CFD182349}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{68A2C89B-D8DF-41AB-A02C-703CFD182349}\InprocServer32]
@="C:\\WINDOWS\\system32\\LBCUI2.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 8019-8BED

R‚pertoire de C:\WINDOWS\System32

17/11/2005 23:09 391ÿ658 ghhkj.ini2
17/11/2005 23:09 391ÿ925 ghhkj.bak2
17/11/2005 23:07 28ÿ173 gebyx.dll
17/11/2005 23:07 27ÿ661 mljji.dll
17/11/2005 23:06 236ÿ246 LBCUI2.dll
17/11/2005 22:29 28ÿ173 ddcya.dll
17/11/2005 22:27 27ÿ661 pmkjk.dll
17/11/2005 22:24 236ÿ523 n0l80a3ued.dll
17/11/2005 22:24 236ÿ246 3uvxVfWCodec.dll
17/11/2005 22:23 236ÿ246 i8240ifqe82e0.dll
17/11/2005 22:19 236ÿ246 iq32_32.dll
17/11/2005 22:19 236ÿ945 lvr6099se.dll
17/11/2005 21:27 236ÿ246 jkcript.dll
17/11/2005 21:27 237ÿ010 p46s0ej7eho.dll
17/11/2005 21:22 236ÿ032 wincntrl.exe
17/11/2005 21:19 236ÿ432 l68m0gl1e6q.dll
17/11/2005 21:16 234ÿ087 p8p6li7s18.dll
17/11/2005 20:43 28ÿ173 gebcy.dll
17/11/2005 20:37 234ÿ272 gpp8l37u1.dll
17/11/2005 20:06 28ÿ173 vturq.dll
17/11/2005 20:04 234ÿ598 h62o0gf3e62.dll
17/11/2005 19:54 28ÿ173 mljgh.dll
17/11/2005 19:51 235ÿ781 mv0ql9d51.dll
17/11/2005 17:56 28ÿ173 vtstr.dll
17/11/2005 17:39 <REP> dllcache
17/11/2005 17:20 28ÿ173 ssqpn.dll
17/11/2005 17:12 28ÿ173 vtsqr.dll
17/11/2005 17:08 379ÿ738 ghhkj.ini
17/11/2005 17:03 379ÿ728 ghhkj.tmp
17/11/2005 17:01 28ÿ173 vtsqo.dll
16/11/2005 20:33 28ÿ173 pmnnk.dll
16/11/2005 20:19 28ÿ173 vturp.dll
16/11/2005 19:36 104ÿ448 rwnt.exe
16/11/2005 17:52 28ÿ173 ssqpm.dll
16/11/2005 16:34 28ÿ173 ddaba.dll
16/11/2005 16:01 28ÿ173 awvvw.dll
16/11/2005 08:30 28ÿ173 vturs.dll
16/11/2005 00:37 28ÿ173 pmkji.dll
16/11/2005 00:02 28ÿ173 vtstu.dll
15/11/2005 23:06 28ÿ173 vtutt.dll
15/11/2005 21:30 28ÿ173 mlljh.dll
15/11/2005 20:38 28ÿ173 vtutu.dll
15/11/2005 17:33 28ÿ173 pmnlk.dll
15/11/2005 17:05 28ÿ173 mljjh.dll
10/11/2005 18:47 28ÿ173 jkklm.dll
10/11/2005 18:23 28ÿ173 pmnlj.dll
10/11/2005 17:47 28ÿ173 pmkjh.dll
10/11/2005 09:55 28ÿ173 awvtu.dll
09/11/2005 19:45 28ÿ173 ssqro.dll
09/11/2005 19:40 28ÿ173 awtqo.dll
09/11/2005 19:35 28ÿ173 ddccd.dll
09/11/2005 19:30 28ÿ173 sstqq.dll
09/11/2005 19:29 268ÿ782 ghhkj.bak1
09/11/2005 19:25 28ÿ173 gebcb.dll
09/11/2005 19:15 28ÿ173 gebya.dll
09/11/2005 19:00 28ÿ173 mllji.dll
09/11/2005 18:55 28ÿ173 geedc.dll
09/11/2005 07:28 544ÿ788 jkhhg.dll
08/11/2005 20:22 28ÿ173 sstqo.dll
08/11/2005 20:12 28ÿ173 geedb.dll
08/11/2005 20:07 28ÿ173 awtsq.dll
08/11/2005 19:52 28ÿ173 gebyw.dll
08/11/2005 19:47 28ÿ173 vturo.dll
08/11/2005 19:42 28ÿ173 vtstq.dll
08/11/2005 19:33 28ÿ173 awvvv.dll
08/11/2005 19:22 28ÿ173 mljge.dll
08/11/2005 19:17 28ÿ173 jkklj.dll
08/11/2005 19:02 28ÿ173 ddcyw.dll
08/11/2005 18:58 28ÿ173 ssttu.dll
08/11/2005 18:57 28ÿ173 pmnno.dll
08/11/2005 18:47 28ÿ173 vtstt.dll
08/11/2005 18:42 28ÿ173 jkhhf.dll
08/11/2005 18:39 28ÿ173 gebcd.dll
04/11/2005 00:42 122ÿ880 BHSV.EXE
27/10/2005 09:04 <REP> Microsoft
28/08/2001 13:00 173ÿ568 xpjava.exe
74 fichier(s) 7ÿ496ÿ224 octets
2 R‚p(s) 14ÿ427ÿ533ÿ312 octets libres

Concernant Hijack:

MG.exe: c'est un logiciel qui s'appelle Media Gateway. Je ne peux pas le supprimer, le fichier est occupé. Et je ne peux pas arrêter la tâche dans ctrl+shift+echap. Il ne veut pas ("accès refusé").
Sinon j'en ai viré encore d'autres qui ont apparus depuis...

Par contre je n'ai pu supprimé aucun des *.exe, ils sont tous utilisés, et dans ctrl+shift+echap, lorsque je les supprime ("accès refusé").
Meme chose pour service.msc, impossible de les arréter... L'option n'est pas sisponible...

Voici le nouveau hijack:

Logfile of HijackThis v1.99.1
Scan saved at 23:23:37, on 17/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\QXJuYXVk\command.exe
C:\WINDOWS\dlhost.ex

bernie61 · Answer

re
bon tu oche et fix ce que j'avais noté pour ton log hijackthis
tu effaces ce que j'avais noté et arrête les services

s'il y a de la résistance à l'effacement, fais le en mode sans échec

puis refais un hijackthis
a+

bernie61 · Answer

retu as bien fais l2mfix avec l'option 2 là??a+

Nono · Answer

Oui...Je suis actuellement en mode sans echec...Je supprime les trucs et je redemarre pour t'envoyer un hijack...A tout de suite...Encore merci de ton aide...++

Nono · Answer

C'est fait. Voici les résultats:

Logfile of HijackThis v1.99.1
Scan saved at 23:56:07, on 17/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\program files\timbuktu pro\tb2launch.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\WinTV\WinTV2K.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\awtqn.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TLogonPath] "c:\program files\timbuktu pro\minitb2.exe"
O4 - HKLM\..\Run: [Media Gateway] C:\WINDOWS\TEMP\MG.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: awtqn - C:\WINDOWS\SYSTEM32\awtqn.dll
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\mv8ul9l91.dll
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dll
O20 - Winlogon Notify: Timbuktu Pro - c:\program files\timbuktu pro\Hook32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files\timbuktu pro\tb2launch.exe

bernie61 · Answer

re

2. Relances Hijackthis et coche (puis FIX)
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\awtqn.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dll
O4 - HKLM\..\Run: [Media Gateway] C:\WINDOWS\TEMP\MG.exe > si inconnu
O20 - Winlogon Notify: awtqn - C:\WINDOWS\SYSTEM32\awtqn.dll
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dll
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\mv8ul9l91.dll

3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\awtqn.dll
C:\WINDOWS\System32\jkhhg.dll
C:\WINDOWS\TEMP\MG.exe > tout le répertoire
C:\WINDOWS\system32\mv8ul9l91.dll
C :ProgramFiles/MediaGateway >> si tu trouves

5. vider les répertoires temps et la corbeille, en lançant Ccleaner
Refais un hijackthis de contrôle et dis nous où en sont les problèmes…

a+

bernie61 · Answer

re
si tu as encore des pbm applique ensuite ceci
1. Télécharger SmitfraudFix du site de S!Ri sur le bureau par exemple:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
2. désactiver l’antivirus (car est détecté faussement comme virus malware)
3. décomprimer SmitfraudFix
4. Lancer SmitfraudFix, et choisir l’option 1 ; copier le rapport ici ;
5. Redémarrer l’ordi en mode sans échec ;
6. vérifier que l’antivirus est toujours désactivé
7. Relancer SmitfraudFix à nouveau mais choisir l’option 2 et accepter les demandes, copier le log ;
8. Redémarrer l’ordi en mode normal,
9. vérifier le redémarrage de l’antivirus si cela n’est pas automatique et refaire un Hijackthis
http://www.merijn.org/files/hijackthis.zip
et copier/coller le rapport ici avec le 2ème rapport de smitfraud;
a+

Nono · Answer

C'est fait.J'ai du faire tout ça en mode sans échec.Même les popups, ftp.exe et cmd.exe se lancent dans ce mode...Voilà le hi jack, je n'ai pas pu enlever les dll, il sont "occupés":Logfile of HijackThis v1.99.1Scan saved at 00:22:53, on 18/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEc:\program files	imbuktu pro	b2launch.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\WINDOWS\System32
otepaad.exeC:\WINDOWS\System32\mswindtc.exeC:\DOCUME~1\Arnaud\LOCALS~1\Temp\~1.tmp.exeC:\DOCUME~1\Arnaud\LOCALS~1\Temp\~5.tmp.exeO2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\awtqn.dllO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dllO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [TLogonPath] "c:\program files	imbuktu pro\minitb2.exe"O4 - HKLM\..\Run: [Media Gateway] C:\WINDOWS\TEMP\MG.exeO4 - HKLM\..\Run: [Microsoft messenger] msnger.exeO4 - HKLM\..\Run: [notes] notepaad.exeO4 - HKLM\..\Run: [MPaPSPK[TM]_HQT] C:\WINDOWS\System32xzuml.exeO4 - HKLM\..\Run: [win msdt service] mswindtc.exeO4 - HKLM\..\Run: [Mirsoft sdcE] taskmegr.exeO4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exeO4 - HKLM\..\RunServices: [notes] notepaad.exeO4 - HKLM\..\RunServices: [MPaPSPK[TM]_HQT] C:\WINDOWS\System32xzuml.exeO4 - HKLM\..\RunServices: [win msdt service] mswindtc.exeO4 - HKLM\..\RunServices: [Mirsoft sdcE] taskmegr.exeO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [Microsoft messenger] msnger.exeO4 - HKCU\..\Run: [win msdt service] mswindtc.exeO4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exeO4 - HKCU\..\RunServices: [win msdt service] mswindtc.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO20 - Winlogon Notify: awtqn - C:\WINDOWS\SYSTEM32\awtqn.dllO20 - Winlogon Notify: Installer - C:\WINDOWS\system32\gp08l3du1.dllO20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dllO20 - Winlogon Notify: Timbuktu Pro - c:\program files	imbuktu pro\Hook32.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files	imbuktu pro	b2launch.exe

salleyarnaud@hotmail.com · Answer

Rebonjour,

J'ai du nouveau. j'ai installé avast comme vous me l'avez demandé (et déinstallé norton). Il m'a ensuite demandé de redémarrer pour lancer un scan. Et maintenant, au démarage, j'ai NTLDR missing.
J'ai refait le dskcdk /r puis fixboot, mais rien n'y fait...
J'ai aussi essayé de copier: ntldr, ntdetect.com, et boot.ini mais accès refusé pour ntdetect.com

Le pc fixe ne remarche donc plus...

Nono · Answer

Je suis en train de rinstaller windows xp sans reformater... POur ne pas perdre mes donées ni mes pilotes...

Nono · Answer

Ca y est, l'ordi veut bien redémarrer (pour l'instant). Voici le résultat du logiciel hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18:40:38, on 18/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\timbuktu pro\tb2launch.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\rwnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\WinTV\WinTV2K.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe
O4 - HKLM\..\RunServices: [win msdt service] mswindtc.exe
O4 - HKLM\..\RunServices: [Mirsoft sdcE] taskmegr.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe
O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINDOWS\mspath.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files\timbuktu pro\tb2launch.exe

bernie61 · Answer

resalut
comme tu as réinstaller sans faire les mises à jour de Win te voilà à nouveau infecté différemment
fais les màj WIN
puis installes un firewall, au choix:
ZoneAlarm Free là
http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=staticcomp_za en français là http://fr.zonelabs.com/download/znalm.html
Et Tutorial ZA là
http://www.zebulon.fr/articles/configurationZA_2.php
http://www.zebulon.fr/articles/configurationZA_1.php
http://www.commentcamarche.net/pratique/zonealarm.php3
http://speedweb1.free.fr/frames2.php?page=tuto1
http://www.donhoover.net/
http://www.solutionsreview.com/ZoneAlarm_Pro_Setup_Firewall_Program_Controls.htm
Kerio Firewall Free là existe jusqu’à déc2005
http://www.kerio.com/kpf_download.html
http://www.firewall-net.com/fr/kerio/?PHPSESSID=5f5400e074c1064596ee376a8b189ce0
http://eu.download.kerio.com/dwn/kpf/kpf41-en-v3.pdf pour le manuel
http://websecurite.org/kerioPF.htm >>tutorial
http://www.vulgarisation-informatique.com/kerio.php
et sorte de tutor là http://kerio215.free.fr/
Outpost Firewall Tutorial en ligne
http://www.agnitum.com/download/ pour Outpost free 1.00
http://etienne.durup.free.fr/securite/outpost/OPconf.htm (Zébulon)
http://www.outpostfirewall.com/guide/faq/index.htm FAQ
http://c.rosu.free.fr/Conf_outpost.htm bien expliqué et http://c.rosu.free.fr/Conf_outpost_skype.htm

fais une màj de ton antivirus et scan, idem avec spybotS&D et adaware
anti adware de lavasoft là gratuit AdAware-SE
http://www.lavasoftusa.com/support/download/
et surtout celui là Spybot S&D là: (free) version 1.4 final
http://www.softpedia.com/progDownload/SpyBot--Search--Destroy--beta-Download-1865.html

puis refais un hijackthis
a+

Nono · Answer

Hello Bernie61,Avast, Sysclean, Adaware et Spybot étaient déjà mis à jour.Pour les mises à jour windows, je suis inscrit à windows update, donc normalement cela se fait automatiquement.Pour le firewall, j'ai installé ZoneAlarm (d'ailleurs, en passant, je ne sais pas si je dois autoriser "rwnt.exe").Voici le HijackThis du moment:Logfile of HijackThis v1.99.1Scan saved at 11:35:59, on 19/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.EXEc:\program files	imbuktu pro	b2launch.exeC:\WINDOWS\System32wnt.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exec:\program files	imbuktu pro	b2pro.exec:\program files	imbuktu pro\TNOTIFY.EXEC:\Program Files\MSN Messenger\msnmsgr.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\HijackThis.exeO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Windowsz] rwnt.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeO4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exeO4 - HKLM\..\RunServices: [win msdt service] mswindtc.exeO4 - HKLM\..\RunServices: [Mirsoft sdcE] taskmegr.exeO4 - HKLM\..\RunServices: [Windowsz] rwnt.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exeO4 - HKCU\..\RunServices: [win msdt service] mswindtc.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132393139530O20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINDOWS\mspath.exe (file missing)O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files	imbuktu pro	b2launch.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

bernie61 · Answer

rerefais le L2MFIX avec option 1 puis option 2ensuite effaces cette dll  C:\WINDOWS\System32\jkhhg.dll avec effaceur Hijackthisouvrir Hijackthis là en bas droite CONFIG puis onglet MISCtools, là « Delete a file on reboot », cliq dessus et suivre chemin de fichier à effacer, il indique alors « voulez-vous redémarrer maintenant », cliq sur NON si d’autres fichiers sont à sélectionner et à nouveau « Delete a file on reboot » .. puis cliq OUI quand tous les fichiers sont sélectionnéspasse EWIDO http://www.ewido.net/en/?section=features       (payant après 30j)puis remes un Hijackthisa+

Nono · Answer

Je viens de faire la manip avec l2mfix.Après avoir fait 1 et 2 l'ordi a redémarré. Puis, une fenêtre dos s'est ouverte avec "killing process". La fenêtre a tenté de supprimer 3 lignes, mais elle n'a pas réussi "fichier introuvable".J'attaque la manip avec HijackThis.A tout de suite...++

Nono · Answer

Ca y est.Après le redémarrage, ZoneAlarm m'a demandé si je voulais autoriser svchost.exe et rwnt.exe. j'ai mis oui pour le premier et non pour le second. j'ai bien fait?Voici le HijackThis, qui est d'ailleurs anormal à mon sens étant donné que jhkkg.dll est toujours présent malgré la manip de suppression de HijackThis.Logfile of HijackThis v1.99.1Scan saved at 12:14:47, on 19/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.EXEc:\program files	imbuktu pro	b2launch.exeC:\WINDOWS\System32wnt.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exec:\program files	imbuktu pro	b2pro.exec:\program files	imbuktu pro\TNOTIFY.EXEC:\Program Files\HijackThis.exeO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Windowsz] rwnt.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeO4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exeO4 - HKLM\..\RunServices: [win msdt service] mswindtc.exeO4 - HKLM\..\RunServices: [Mirsoft sdcE] taskmegr.exeO4 - HKLM\..\RunServices: [Windowsz] rwnt.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exeO4 - HKCU\..\RunServices: [win msdt service] mswindtc.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132393139530O20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINDOWS\mspath.exe (file missing)O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files	imbuktu pro	b2launch.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

bernie61 · Answer

resalut0. Installe ce nettoyeur CCLEANER http://www.ccleaner.com/   ou lien direct là http://www.filehippo.com/download_ccleaner.html  (la flèche)Tutorial là http://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.phpensuite*Configure ton ordi  pour tous scan à exécuter complétement, il faut pouvoir scanner tous les dossiers caché et système donc faire :Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes- afficher les fichiers et dossier cachés- afficher contenu dossier systèmedécocher- masquer fichiers protégés du dossier systèmePuis cliquer APPLIQUER à TOUS les Dossiers2. Relances Hijackthis et coche (puis FIX)O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dll O4 - HKLM\..\Run: [Windowsz] rwnt.exe O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe O4 - HKLM\..\RunServices: [win msdt service] mswindtc.exe O4 - HKLM\..\RunServices: [Mirsoft sdcE] taskmegr.exe O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)C:\WINDOWS\System32\jkhhg.dll C:\WINDOWS\System32\rwnt.exe C :… msnger.exe C :…  mswindtc.exe C :…  taskmegr.exe 5. vider les répertoires temps et la corbeille, en lançant CcleanerRefais un hijackthis de contrôle et dis nous où en sont les problèmes…a+

Nono · Answer

Manip faite, mais le résultat est le même que lorsque nous l'avions effectuée la première fois, à savoir:Impossible de supprimer C:\WINDOWS\System32\jkhhg.dll "Impossible de supprimer ... : Cette ressource est utilisée par une autre personne ou un autre programme, etc..."msnger.exe introuvable; par contre il existe un MSNGER.EXE-21AD6A48.pf dans C:\WINDOWS\Prefetchtaskmegr.exe introuvable;Les autres ont été supprimés avec succès;Voici le nouveau HijackThis:Logfile of HijackThis v1.99.1Scan saved at 12:55:48, on 19/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.EXEc:\program files	imbuktu pro	b2launch.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exec:\program files	imbuktu pro	b2pro.exec:\program files	imbuktu pro\TNOTIFY.EXEC:\Program Files\HijackThis.exeO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132393139530O20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINDOWS\mspath.exe (file missing)O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files	imbuktu pro	b2launch.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

bernie61 · Answer

re

2. Relances Hijackthis et coche (puis FIX)
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\awtqn.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dll
O4 - HKLM\..\Run: [Media Gateway] C:\WINDOWS\TEMP\MG.exe > si inconnu
O20 - Winlogon Notify: awtqn - C:\WINDOWS\SYSTEM32\awtqn.dll
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\System32\jkhhg.dll
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\mv8ul9l91.dll

3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\awtqn.dll
C:\WINDOWS\System32\jkhhg.dll
C:\WINDOWS\TEMP\MG.exe > tout le répertoire
C:\WINDOWS\system32\mv8ul9l91.dll
C :ProgramFiles/MediaGateway >> si tu trouves

5. vider les répertoires temps et la corbeille, en lançant Ccleaner
Refais un hijackthis de contrôle et dis nous où en sont les problèmes…

a+

Nono · Answer

J'ai tout fait, sauf la manip avec LSPFix car la dll que tu veux que je supprime n'apparait pas dans la liste (il n'y en a que trois et pas jkhhg.dll)Voici le nouveau HijackThis:Logfile of HijackThis v1.99.1Scan saved at 13:36:53, on 19/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.EXEc:\program files	imbuktu pro	b2launch.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exec:\program files	imbuktu pro	b2pro.exec:\program files	imbuktu pro\TNOTIFY.EXEC:\WINDOWS\System32svp.exeC:\Program Files\HijackThis.exeO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132393139530O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files	imbuktu pro	b2launch.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

bernie61 · Answer

refais Démarrer/exécuter et tappe REGEDITtu cherches ces clef HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\et dans panneau droite effaces jkhhgva ensuite là :HKCR\CLSID\(00DBDAC8-4691-4797-8E6A-7C6AB89BC441)HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\(00DBDAC8-4691-4797-8E6A-7C6AB89BC441)et effaces ces clefs { ....} refais un hijackthisa+

Nono · Answer

Re,La clé jhkkg n'existe pas dans HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Par contre j'ai supprimé toutes les clés où l'on peut trouver jhkkgY en avait 2 qui réapparraissaient une fois que je les supprimais donc j'ai supprimé carrément les {...} avec tout ce qu'il y avait dedans... J'espère que j'ai bien fait?J'ai fait une nouvelle recherche de jhkkg sur le dd, et il n'a rien trouvé... C'est bon signe...Voici le HijackThis:Logfile of HijackThis v1.99.1Scan saved at 14:47:29, on 19/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exec:\program files	imbuktu pro	b2launch.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exec:\program files	imbuktu pro	b2pro.exec:\program files	imbuktu pro\TNOTIFY.EXEC:\WINDOWS\System32svp.exeC:\WINDOWS\explorer.exeC:\Program Files\HijackThis.exeO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132393139530O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files	imbuktu pro	b2launch.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

bernie61 · Answer

revérifie celui ciC:\WINDOWS\System32\rsvp.exe làhttp://virusscan.jotti.org/  fichier par fichier Parcourir puis SEND lance ce multiple scanneur antiviruspuis relances HJ et coche/fix O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dll et réessaie effacerC:\WINDOWS\System32\jkhhg.dll a+

Nono · Answer

Re,rsvp est ok apparemment...jkhhg.dll demeure insupprimable...

Utilisateur anonyme · Answer

salut nonoremet un hijack this stp apres redemarragea+

Nono · Answer

Here we go...Logfile of HijackThis v1.99.1Scan saved at 17:59:31, on 19/11/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exec:\program files	imbuktu pro	b2launch.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exec:\program files	imbuktu pro	b2pro.exec:\program files	imbuktu pro\TNOTIFY.EXEC:\Program Files\HijackThis.exeO2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132393139530O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Tb2 Launch (Tb2Launch) - Netopia, Inc. - c:\program files	imbuktu pro	b2launch.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Utilisateur anonyme · Answer

Salut,Imprime, ou enregistre ceci dans le bloc note pour ne rien oublier.1/ télécharge : process xp ici: http://www.sysinternals.com/files/procexpnt.zip Télécharge: Pocket Killbox ici http://www.downloads.subratam.org/KillBox.exe :: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::http://pageperso.aol.fr/balltrap34/killbox.htm **2/ Déconnecte toi du net. Ferme tous les programmes en cours (média player, internet explorer, ...etc) Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe * Dans la fenêtre principale de processxp double clic sur winlogon.exe Dans la nouvelle fenêtre qui s'ouvre clique sur threads sélectionne seulement les lignes qui contiennent jkhhg.dll   puis clique sur kill pour chacune des lignes trouvées. une fois fait, valide avec ok * Dans la fenêtre principale de processxp double clic sur explorer.exe Dans la nouvelle fenêtre qui s'ouvre clique sur threads sélectionner seulement les lignes qui contiennent jkhhg.dll  puis clique sur kill pour chacune des lignes trouvées. une fois fait, valide avec ok 3/ puis lancer HijackThis: clique sur "do a system scan only" * Cocher la case au début de ces lignes: O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\jkhhg.dll * Valider avec fix checked 5/ Double clic sur killbox.exe (Pocket Killbox) - coche: delete on reboot - Dans "Full Path of File to Delete" copie et colle: C:\WINDOWS\System32\jkhhg.dll - clique sur la croix rouge - une fenêtre va apparaître pour confirmation clique sur YES - une seconde fenêtre te demande si tu veux redémarrer clique sur YES Laisse le pc redémarrer.Et après reposte un log HijackThis. A+PS: ca serait judicieux de mettre avast des le lancement de ton pc, car la il ne me parait pas actif des le demarrage et c est plutot pas rassurant...

C'est à en devenir fou...

35 réponses

Discussions similaires

Newsletters