Problèmes : conhook - falastit....
Nico P
Messages postés
25
Statut
Membre
-
Nico P Messages postés 25 Statut Membre -
Nico P Messages postés 25 Statut Membre -
Bonjour,
Je suis sous Windows 2000. Je souhaite demander conseil sur quelques problèmes et leur résolution :
- présence récurrente de Conhook et Falastit ( voir extrait du scan d'ANTIVIR ci-après)
- SPybot détecte des éléments qui réaparraissent à chaque analyse
- Je ne peux pas ouvrir tout fichier PDF provenant d'un site internet
Dois-je poster un log Hijackthis pour apporter + de précisions ? Dans ce cas, quelle est la démarche préalable à l'édition de ce log ?
Merci par avance
Salutations
Nico
Extrait du rapport d'ANTIVIR :
Access denied! Error during file opening!
Error code: 0x0002
C:\
WARNING! Access error/file locked!
Access denied! Error during file opening!
Error code: 0x0002
WARNING! Access error/file locked!
winso.exe
ArchiveType: ZIP SFX (self extracting)
--> ts5.exe
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Q.2
mstask33.exe
ArchiveType: ZIP SFX (self extracting)
--> ts5.exe
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Q.2
sko.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Falastit Backdoor server programs
WAS DELETED!
C:\WINNT\SYSTEM32
cbxyw.dll
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Q.2
Could not be deleted!
ssqnl.dll
[DETECTION] Contains signature of the dropper DR/Falastit.2
WAS DELETED!
xxyay.dll
[DETECTION] Contains signature of the dropper DR/Falastit.2
Could not be deleted!
iifdd.dll
[DETECTION] Contains signature of the dropper DR/Falastit.2
WAS DELETED!
xxyvw.dll
[DETECTION] Contains signature of the dropper DR/Falastit.2
WAS DELETED!
C:\WINNT\SYSTEM32\CONFIG
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Je suis sous Windows 2000. Je souhaite demander conseil sur quelques problèmes et leur résolution :
- présence récurrente de Conhook et Falastit ( voir extrait du scan d'ANTIVIR ci-après)
- SPybot détecte des éléments qui réaparraissent à chaque analyse
- Je ne peux pas ouvrir tout fichier PDF provenant d'un site internet
Dois-je poster un log Hijackthis pour apporter + de précisions ? Dans ce cas, quelle est la démarche préalable à l'édition de ce log ?
Merci par avance
Salutations
Nico
Extrait du rapport d'ANTIVIR :
Access denied! Error during file opening!
Error code: 0x0002
C:\
WARNING! Access error/file locked!
Access denied! Error during file opening!
Error code: 0x0002
WARNING! Access error/file locked!
winso.exe
ArchiveType: ZIP SFX (self extracting)
--> ts5.exe
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Q.2
mstask33.exe
ArchiveType: ZIP SFX (self extracting)
--> ts5.exe
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Q.2
sko.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Falastit Backdoor server programs
WAS DELETED!
C:\WINNT\SYSTEM32
cbxyw.dll
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Q.2
Could not be deleted!
ssqnl.dll
[DETECTION] Contains signature of the dropper DR/Falastit.2
WAS DELETED!
xxyay.dll
[DETECTION] Contains signature of the dropper DR/Falastit.2
Could not be deleted!
iifdd.dll
[DETECTION] Contains signature of the dropper DR/Falastit.2
WAS DELETED!
xxyvw.dll
[DETECTION] Contains signature of the dropper DR/Falastit.2
WAS DELETED!
C:\WINNT\SYSTEM32\CONFIG
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
11 réponses
Salut Nico !!! :o)
- Spybot détecte des éléments qui réaparraissent à chaque analyse
Quelle est ta version de Spybot ???
Quels sont les éléments qui réapparaissent ???
- Je ne peux pas ouvrir tout fichier PDF provenant d'un site internet
As-tu un lecteur de fichiers PDF ?
Certains fichiers ont été supprimés mais d'autres non.
Poste ton log HijackThis afin qu'on n'y voie plus clair.
A++++++++
- Spybot détecte des éléments qui réaparraissent à chaque analyse
Quelle est ta version de Spybot ???
Quels sont les éléments qui réapparaissent ???
- Je ne peux pas ouvrir tout fichier PDF provenant d'un site internet
As-tu un lecteur de fichiers PDF ?
Certains fichiers ont été supprimés mais d'autres non.
Poste ton log HijackThis afin qu'on n'y voie plus clair.
A++++++++
Salut,
Merci pour cette réponse.
J'ai Spybot 1.4. Je reviendrai par la suite sur ce point-là.
Que penses-tu du log ci-après :
Logfile of HijackThis v1.99.1
Scan saved at 11:34:19, on 26/12/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\System32\PRPCUI.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\sk17934.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\ScanSoft\Pagis\Monitor.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINNT\System32\locator.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Mes documents\ASPECTS INFORMATIQUES\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\cbxyw.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\mllig.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\system32\xxyay.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [Services] C:\sk17934.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Contrôleur de planification Pagis.lnk = C:\Program Files\ScanSoft\Pagis\Monitor.exe
O4 - Global Startup: QuadraBUREAU.lnk = Quadra\PGM32\QBureau2.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A2C16FF-157F-4869-857C-5F032DF113D6}: NameServer = 80.118.196.40 80.118.192.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F1C21C-C404-490F-8203-CBF27CA31D2D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SECOG.FR
O20 - Winlogon Notify: cbxyw - C:\WINNT\SYSTEM32\cbxyw.dll
O20 - Winlogon Notify: mllig - C:\WINNT\System32\mllig.dll
O20 - Winlogon Notify: xxyay - C:\WINNT\SYSTEM32\xxyay.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
Merci pour cette réponse.
J'ai Spybot 1.4. Je reviendrai par la suite sur ce point-là.
Que penses-tu du log ci-après :
Logfile of HijackThis v1.99.1
Scan saved at 11:34:19, on 26/12/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\System32\PRPCUI.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\sk17934.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\ScanSoft\Pagis\Monitor.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINNT\System32\locator.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Mes documents\ASPECTS INFORMATIQUES\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\cbxyw.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\mllig.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\system32\xxyay.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [Services] C:\sk17934.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Contrôleur de planification Pagis.lnk = C:\Program Files\ScanSoft\Pagis\Monitor.exe
O4 - Global Startup: QuadraBUREAU.lnk = Quadra\PGM32\QBureau2.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A2C16FF-157F-4869-857C-5F032DF113D6}: NameServer = 80.118.196.40 80.118.192.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F1C21C-C404-490F-8203-CBF27CA31D2D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SECOG.FR
O20 - Winlogon Notify: cbxyw - C:\WINNT\SYSTEM32\cbxyw.dll
O20 - Winlogon Notify: mllig - C:\WINNT\System32\mllig.dll
O20 - Winlogon Notify: xxyay - C:\WINNT\SYSTEM32\xxyay.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
Tout d'abord, imprime ce message pour ne rien oublier
*** Déconnecte toi d'Internet
*** Vide ton cache Internet :
Panneau de configuration - Options Internet :
- Clique sur "Supprimer les cookies"
- Clique sur "Supprimer les fichiers" en cochant la case
Puis valide ...
*** Désactive la restauration système
Clic droit sur poste de travail - propriétés - onglet Restauration système
Coche "désactiver la restauration système" (accepte le redémarrage).
*** Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
*** Rend visible les fichiers cachés et système :
Panneau de configuration - Options des dossiers - onglet Affichage
Coche " Afficher les fichiers et dossiers cachés "
Décoche " Masquer les extensions des fichiers dont le type est connu"
Décoche " Masquer les fichiers protégés du système" puis valide
*** Toujours en mode sans échec, lance HijackThis et fixe :
(Coche les cases au début des lignes suivantes)
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\cbxyw.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\mllig.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\system32\xxyay.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [Services] C:\sk17934.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
Puis valide avec Fix Checked
*** Recherche et supprime si présent :
[Dans le cas ou tu utiliserais la fonction Rechercher :
Tous les fichiers et tous les dossiers - Options avancées
• Rechercher dans les dossiers systèmes } DOIT ÊTRE COCHÉ
• Rechercher dans les fichiers et les dossiers cachés } DOIT ÊTRE COCHÉ
• Rechercher dans les sous-dossiers } DOIT ÊTRE COCHÉ
*** Supprime :
C:\sk17934.exe
C:\WINNT\SYSTEM32\cbxyw.dll
C:\WINNT\System32\mllig.dll
C:\WINNT\SYSTEM32\xxyay.dll
*** Supprime les fichiers temporaires avec ce petit programme :
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
Ou manuellement : vide tout le contenu des dossiers en gras :
-- C:\Documents and Settings\ton compte\Local Settings\Temp
-- C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
-- C:\Temp
-- C:\Windows\Temp
-- C:\WINDOWS\Prefetch : Sauf le fichier layout.ini
*** Vide ta corbeille !
Redémarre normalement ton PC puis reposte un nouveau rapport HijackThis.
A+++++++
*** Déconnecte toi d'Internet
*** Vide ton cache Internet :
Panneau de configuration - Options Internet :
- Clique sur "Supprimer les cookies"
- Clique sur "Supprimer les fichiers" en cochant la case
Puis valide ...
*** Désactive la restauration système
Clic droit sur poste de travail - propriétés - onglet Restauration système
Coche "désactiver la restauration système" (accepte le redémarrage).
*** Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
*** Rend visible les fichiers cachés et système :
Panneau de configuration - Options des dossiers - onglet Affichage
Coche " Afficher les fichiers et dossiers cachés "
Décoche " Masquer les extensions des fichiers dont le type est connu"
Décoche " Masquer les fichiers protégés du système" puis valide
*** Toujours en mode sans échec, lance HijackThis et fixe :
(Coche les cases au début des lignes suivantes)
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\cbxyw.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\mllig.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\system32\xxyay.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [Services] C:\sk17934.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
Puis valide avec Fix Checked
*** Recherche et supprime si présent :
[Dans le cas ou tu utiliserais la fonction Rechercher :
Tous les fichiers et tous les dossiers - Options avancées
• Rechercher dans les dossiers systèmes } DOIT ÊTRE COCHÉ
• Rechercher dans les fichiers et les dossiers cachés } DOIT ÊTRE COCHÉ
• Rechercher dans les sous-dossiers } DOIT ÊTRE COCHÉ
*** Supprime :
C:\sk17934.exe
C:\WINNT\SYSTEM32\cbxyw.dll
C:\WINNT\System32\mllig.dll
C:\WINNT\SYSTEM32\xxyay.dll
*** Supprime les fichiers temporaires avec ce petit programme :
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
Ou manuellement : vide tout le contenu des dossiers en gras :
-- C:\Documents and Settings\ton compte\Local Settings\Temp
-- C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
-- C:\Temp
-- C:\Windows\Temp
-- C:\WINDOWS\Prefetch : Sauf le fichier layout.ini
*** Vide ta corbeille !
Redémarre normalement ton PC puis reposte un nouveau rapport HijackThis.
A+++++++
Merci,
la démarche me paraît claire, mais pour la restauration système, quand je clique propriétés du poste de travail, je n'ai pas d'onglet Restauration système ni de case "désactiver la restauration système" dans les 5 onglets proposés : général, identification réseau, matériel, profil des utilisateurs, Avancé.
Comment puis-je retrouver cette désactivation ?
la démarche me paraît claire, mais pour la restauration système, quand je clique propriétés du poste de travail, je n'ai pas d'onglet Restauration système ni de case "désactiver la restauration système" dans les 5 onglets proposés : général, identification réseau, matériel, profil des utilisateurs, Avancé.
Comment puis-je retrouver cette désactivation ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai lu sur une autre rubrique du forum qu'il n'y a à priori pas de restauration système sous Windows 2000.
Dois-je respecter la même démarche, sans restauration, ou sinon quel sont les changements ?
Dois-je respecter la même démarche, sans restauration, ou sinon quel sont les changements ?
J'ai effectué toute la démarche, sauf pour la suppression des trois .dll où une fenêtre apparaissait :
"impossible de supprimmer cbxyw : le fichier spécifié est utilisé par Windows"
Que faire ?
D'autre part, je n'ai pour l'instant pas coché/recoché à l'inverse les cases d'affichage des dossiers cachés et fichiers protégés, dois-je le faire ?
merci d'avance
à+
Voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 13:15:19, on 26/12/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\System32\PRPCUI.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\ScanSoft\Pagis\Monitor.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINNT\System32\locator.exe
C:\Documents and Settings\Administrateur\Mes documents\ASPECTS INFORMATIQUES\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\cbxyw.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\mllig.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\system32\xxyay.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Contrôleur de planification Pagis.lnk = C:\Program Files\ScanSoft\Pagis\Monitor.exe
O4 - Global Startup: QuadraBUREAU.lnk = Quadra\PGM32\QBureau2.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F1C21C-C404-490F-8203-CBF27CA31D2D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SECOG.FR
O20 - Winlogon Notify: cbxyw - C:\WINNT\SYSTEM32\cbxyw.dll
O20 - Winlogon Notify: mllig - C:\WINNT\System32\mllig.dll
O20 - Winlogon Notify: xxyay - C:\WINNT\SYSTEM32\xxyay.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
"impossible de supprimmer cbxyw : le fichier spécifié est utilisé par Windows"
Que faire ?
D'autre part, je n'ai pour l'instant pas coché/recoché à l'inverse les cases d'affichage des dossiers cachés et fichiers protégés, dois-je le faire ?
merci d'avance
à+
Voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 13:15:19, on 26/12/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\System32\PRPCUI.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\ScanSoft\Pagis\Monitor.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINNT\System32\locator.exe
C:\Documents and Settings\Administrateur\Mes documents\ASPECTS INFORMATIQUES\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\cbxyw.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\mllig.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\system32\xxyay.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Contrôleur de planification Pagis.lnk = C:\Program Files\ScanSoft\Pagis\Monitor.exe
O4 - Global Startup: QuadraBUREAU.lnk = Quadra\PGM32\QBureau2.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F1C21C-C404-490F-8203-CBF27CA31D2D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SECOG.FR
O20 - Winlogon Notify: cbxyw - C:\WINNT\SYSTEM32\cbxyw.dll
O20 - Winlogon Notify: mllig - C:\WINNT\System32\mllig.dll
O20 - Winlogon Notify: xxyay - C:\WINNT\SYSTEM32\xxyay.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
Re
Télécharge: Pocket Killbox ici :
http://www.downloads.subratam.org/KillBox.exe
Double-clique sur killbox.exe (Pocket Killbox)
- Coche : delete on reboot
- Dans "Full Path of File to Delete"
Copie et colle :
C:\WINNT\SYSTEM32\cbxyw.dll
C:\WINNT\System32\mllig.dll
C:\WINNT\SYSTEM32\xxyay.dll
- Clique sur la croix rouge
- Une fenêtre va apparaître pour confirmation. clique sur YES
- Une seconde fenêtre te demande si tu veux redémarrer. clique sur YES
A++++++
Télécharge: Pocket Killbox ici :
http://www.downloads.subratam.org/KillBox.exe
Double-clique sur killbox.exe (Pocket Killbox)
- Coche : delete on reboot
- Dans "Full Path of File to Delete"
Copie et colle :
C:\WINNT\SYSTEM32\cbxyw.dll
C:\WINNT\System32\mllig.dll
C:\WINNT\SYSTEM32\xxyay.dll
- Clique sur la croix rouge
- Une fenêtre va apparaître pour confirmation. clique sur YES
- Une seconde fenêtre te demande si tu veux redémarrer. clique sur YES
A++++++
Effectué.
Merci beaucoupe pour ces conseils.
Je vais tester si ces problèmes ont disparu.
Dois-je recocher les cases concernant les fichiers cachés et système ?
à+
Nico
Merci beaucoupe pour ces conseils.
Je vais tester si ces problèmes ont disparu.
Dois-je recocher les cases concernant les fichiers cachés et système ?
à+
Nico
De rien. ;-)
Pour rendre invisibles les fichiers cachés et système :
Panneau de configuration - Options des dossiers - onglet Affichage
Décoche " Afficher les fichiers et dossiers cachés "
Coche " Masquer les fichiers protégés du système" puis valide
Laisse affichées les extensions.
Cela réduit les risques d'ouvrir un fichier infecté.
A+++++
Pour rendre invisibles les fichiers cachés et système :
Panneau de configuration - Options des dossiers - onglet Affichage
Décoche " Afficher les fichiers et dossiers cachés "
Coche " Masquer les fichiers protégés du système" puis valide
Laisse affichées les extensions.
Cela réduit les risques d'ouvrir un fichier infecté.
A+++++
Merci pour tous ces conseils.
Mais le problème persiste, l'analyse Antivirus a décelé les mêmes éléments : Conhook, Falastit.
Par contre aucun mouchard détecté par Spybot 1.4.
As-tu une autre idée, ou vois-tu certains points à vérifier ?
Voici une copie du log :
Logfile of HijackThis v1.99.1
Scan saved at 17:11:47, on 26/12/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\System32\PRPCUI.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\ScanSoft\Pagis\Monitor.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINNT\System32\locator.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Mes documents\ASPECTS INFORMATIQUES\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\cbxyw.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\mllig.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\system32\xxyay.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Contrôleur de planification Pagis.lnk = C:\Program Files\ScanSoft\Pagis\Monitor.exe
O4 - Global Startup: QuadraBUREAU.lnk = Quadra\PGM32\QBureau2.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A2C16FF-157F-4869-857C-5F032DF113D6}: NameServer = 80.118.192.100 80.118.196.36
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F1C21C-C404-490F-8203-CBF27CA31D2D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SECOG.FR
O20 - Winlogon Notify: cbxyw - C:\WINNT\SYSTEM32\cbxyw.dll
O20 - Winlogon Notify: mllig - C:\WINNT\System32\mllig.dll
O20 - Winlogon Notify: xxyay - C:\WINNT\SYSTEM32\xxyay.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
Mais le problème persiste, l'analyse Antivirus a décelé les mêmes éléments : Conhook, Falastit.
Par contre aucun mouchard détecté par Spybot 1.4.
As-tu une autre idée, ou vois-tu certains points à vérifier ?
Voici une copie du log :
Logfile of HijackThis v1.99.1
Scan saved at 17:11:47, on 26/12/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\System32\PRPCUI.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\ScanSoft\Pagis\Monitor.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINNT\System32\locator.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Mes documents\ASPECTS INFORMATIQUES\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\cbxyw.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\mllig.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\system32\xxyay.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Contrôleur de planification Pagis.lnk = C:\Program Files\ScanSoft\Pagis\Monitor.exe
O4 - Global Startup: QuadraBUREAU.lnk = Quadra\PGM32\QBureau2.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A2C16FF-157F-4869-857C-5F032DF113D6}: NameServer = 80.118.192.100 80.118.196.36
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F1C21C-C404-490F-8203-CBF27CA31D2D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SECOG.FR
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SECOG.FR
O20 - Winlogon Notify: cbxyw - C:\WINNT\SYSTEM32\cbxyw.dll
O20 - Winlogon Notify: mllig - C:\WINNT\System32\mllig.dll
O20 - Winlogon Notify: xxyay - C:\WINNT\SYSTEM32\xxyay.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
J'ai effectué une analyse avec Ad-Aware, voici ci-après ce qui a été mis en quarantaine.
Après l'analyse, j'ai sélectionné les 10 éléments critiques, mais quand j'ai cliqué sur effacer, un écran bleu est apparu indiquant que Windows Logon a subi une erreur innatendue, le système est bloqué. J'ai du redémarrer le PC.
ArchiveData(auto-quarantine- 2005-12-26 18-41-05.bckp)
Referencefile : SE1R82 19.12.2005
======================================================
WIN32.TROJANDOWNLOADER.CONHOOK
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Processus : C:\WINNT\system32\cbxyw.dll
obj[1]=Processus : C:\WINNT\system32\cbxyw.dll
obj[2]=Processus : C:\WINNT\system32\cbxyw.dll
ALEXA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[3]=RegValue : S-1-5-21-1901738389-1594699042-795568738-500\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[4]=IECache Entry : Cookie:administrateur@www.smartadserver.com/
obj[5]=IECache Entry : Cookie:administrateur@247realmedia.com/
obj[6]=IECache Entry : Cookie:administrateur@doubleclick.net/
obj[7]=IECache Entry : Cookie:administrateur@adtech.de/
obj[8]=IECache Entry : Cookie:administrateur@bluestreak.com/
obj[9]=IECache Entry : Cookie:administrateur@weborama.fr/
Après l'analyse, j'ai sélectionné les 10 éléments critiques, mais quand j'ai cliqué sur effacer, un écran bleu est apparu indiquant que Windows Logon a subi une erreur innatendue, le système est bloqué. J'ai du redémarrer le PC.
ArchiveData(auto-quarantine- 2005-12-26 18-41-05.bckp)
Referencefile : SE1R82 19.12.2005
======================================================
WIN32.TROJANDOWNLOADER.CONHOOK
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Processus : C:\WINNT\system32\cbxyw.dll
obj[1]=Processus : C:\WINNT\system32\cbxyw.dll
obj[2]=Processus : C:\WINNT\system32\cbxyw.dll
ALEXA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[3]=RegValue : S-1-5-21-1901738389-1594699042-795568738-500\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[4]=IECache Entry : Cookie:administrateur@www.smartadserver.com/
obj[5]=IECache Entry : Cookie:administrateur@247realmedia.com/
obj[6]=IECache Entry : Cookie:administrateur@doubleclick.net/
obj[7]=IECache Entry : Cookie:administrateur@adtech.de/
obj[8]=IECache Entry : Cookie:administrateur@bluestreak.com/
obj[9]=IECache Entry : Cookie:administrateur@weborama.fr/
