Sujet Précédent Sujet Suivant

Mscloc32.dll ... résiste a ewido

rocambolo Messages postés 124 Statut Membre -  
Qc001 Messages postés 256 Statut Membre -
Bonjour...
voilà msclock32 est détecté et supprimé par ewido, mais ce dernier revient ... et ewido le dédecte et le supprime... bref une boucle....
j'ai pas trouvé ce fichier, où il est apparemment indiqué, dans le dossier system32 de windows.

De plus au démarragej'ai une fenetre qui s'ouvre avec:
" RUNDLL Erreur de chargement de : "p2esocks_1012.dll" le module spécifié est introuvable"

Je compte sur votre aide ... notamment appel à aranjuez31, regis59, boulepate, marie ... bref toute bonne volonté disponible pour palier et résoudre ces petits problème, car moi je cale...

pentium 4
windows xp pro sp2

j'ai avast d'installé
j'ai passé ewido et spybot en relance normal et en relance sans echec

je colle un hijackthis fait en normal... Merci d'être à l'ecoute et pour l'aide.

Logfile of HijackThis v1.99.1
Scan saved at 10:31:52, on 09/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SM1BG.EXE
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\MMTray.exe
C:\WINDOWS\system32\MMTray2k.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\MMTrayLSI.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\00 compile\stop pub\dpps2.exe
C:\Program Files\Vidal\Communs\Vidal.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\program files\mailskinner\mailskinner.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Micro Application\9 DICOS Indispensables\MediaDICO9.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Micro Application\9 DICOS Indispensables\Rac9.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\PROMT98\INTEGRAL\pinmenu.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\00 compile\stop pub\dpps2.exe"
O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\Vidal\Communs\Vidal.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1012.dll,InstantAccess
O4 - HKCU\..\Run: [MediaDico9] C:\Program Files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe Lancement
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - Startup: Intégrateur PROjectMT 98.lnk = C:\Program Files\PROMT98\INTEGRAL\PINSTART.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACEDC5D5-1696-4662-A142-BD378E085F8B}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

66 réponses

Précédent
Réponse 41 / 66
Utilisateur anonyme
 
salut rocambolo tout d'abord je pense qu'il faut installer un parfeu pour empeché cette dll de se recrée "msclock32.dll".
(kerio)
http://www.clubic.com/telecharger-fiche11071-kerio-personal-firewall.html

(tutorial kerio) :
http://www.pcentraide.com/index.php?showtopic=110

@++++++++
0
Réponse 42 / 66
rocambolo Messages postés 124 Statut Membre
 
OK Jess15, avec tout cela, j'avais négligé le coté Parefeu, en effet j'ai celui de windows xp... qui est insufisant

Merci

à plus
0
Réponse 43 / 66
Utilisateur anonyme
 
Salut rocambolo, Qc001, regis, jess

Il faudrait que tu vérifie en mode sans echec (ils ne sont visibles que dans ce mode) si ces fichiers existent et les supprimer si c'est le cas:

C:\WINDOWS\system32\vpjtqhxio.exe
C:\WINDOWS\system32\vpjtqhxio_navps.dat
C:\WINDOWS\system32\vpjtqhxio.dat
C:\WINDOWS\system32\vpjtqhxio_nav.dat
C:\WINDOWS\system32\msegcompid.dll
C:\WINDOWS\system32\msclock32.dll

a++
0
Réponse 44 / 66
Utilisateur anonyme
 
Salut Moe,

Normalement dans ajout/suppression de programme, il devrait y avoir cela vpjtqhxio; Non?

a+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 66
rocambolo Messages postés 124 Statut Membre
 
Bonjour Régis59

Je viens de vérifier "Ajout/Suppression de programmes"
il y a bien "vpjtqhxio"

Je le supprime ???

Je n'ai pas encore fait la suppression en sans échec indiquée par moe 31 pour:
C:\WINDOWS\system32\vpjtqhxio.exe
C:\WINDOWS\system32\vpjtqhxio_navps.dat
C:\WINDOWS\system32\vpjtqhxio.dat
C:\WINDOWS\system32\vpjtqhxio_nav.dat
C:\WINDOWS\system32\msegcompid.dll
C:\WINDOWS\system32\msclock32.dll

J'attens ta réponse car il vaut mieux je pense supprimer "vpjtqhxio" par ajout/suppression de programme, du moins essayer...

à tout à l'heure...
0
Réponse 46 / 66
Utilisateur anonyme
 
Salut,

Oui je connais cette infection pour l avoir rencontré plusieurs fois et l avoir moi meme eu sur mon PC. lol

Tu désinstalles ceci
vpjtqhxio

Puis tu supprimes ce que Moe t indiques:

C:\WINDOWS\system32\vpjtqhxio.exe
C:\WINDOWS\system32\vpjtqhxio_navps.dat
C:\WINDOWS\system32\vpjtqhxio.dat
C:\WINDOWS\system32\vpjtqhxio_nav.dat
C:\WINDOWS\system32\msegcompid.dll
C:\WINDOWS\system32\msclock32.dll

Il se peut que tu ne trouves pas tout.

Des que tu les a supprimer ou chercher
Demarer < rechercher
tape vpjtqhxio
Et regarde s il trouve plus rien.

a+
0
Utilisateur anonyme
 
Salut regis

lol, il me semblais bien que c'était celle là que tu avais prise !!

petit message perso:
mails impossibles en ce moment, travaux en cours chez wawadoo
0
Réponse 47 / 66
Utilisateur anonyme
 
re,

Oui tu t en souviens? Il apparaissait dans ZA et aucunes infos.Cependant, l appellation varie...

PS: Oui j ai eu de Mailer daemon, donc mes mails ne te sont pas parvenus.
J ai finis de dll les 2, plus que 4. On reprendras cela ;-)
0
Réponse 48 / 66
rocambolo Messages postés 124 Statut Membre
 
Régis59, moe31, Jess15, Qc001...

je n'ai fait aucune manipe suite aux derniers posts faute de temps, cause p'tit fils de 16 mois qui m'lache pas les baskets... mais je suis malgrè tout mon affaire de près et je bosse sur vos conseils dès que je me trouve un temps calme...
0
Réponse 49 / 66
Utilisateur anonyme
 
Salut

Ne t'inquietes pas; prends ton temps et fais le quand tu en as la possibilité

On ne t abandonnes pas, loin de la

a+
0
Réponse 50 / 66
Qc001 Messages postés 256 Statut Membre 17
 
Salut Rocambolo, Regis, Moe, Jess ;

Ok, Metallica était pris avec une nouvelle variante du ver Alcan. Voici comment lui soumettre ce fichier (et Merci ! ). Va sur ce forum :

http://www.thespykiller.co.uk/forum/index.php?PHPSESSID=8be55c8a070c55022aabc62be5bdaaf1&board=1.0

...et clique sur "New Topic" (en haut à droite). Pas nécessaire de t'enregistrer sur ce forum pour poster. Tape ton pseudo et adresse email. Comme titre ("Subject") de discussion, mets Egdaccess file for Metallica, et dans le post, colle le lien vers cette discussion-ci, soit :
http://www.commentcamarche.net/forum/affich-2085891-mscloc32-dll-resiste-a-ewido

Maitenant ; clique sur le bouton "Parcourir", au bas de la fenêtre de message, et recherche ce fichier :

C:\!Submit\vpjtqhxio.exe

...double-clique dessus, et clique sur le bouton "Post" afin de soumettre ton message (et fichier joint). C'est tout ! Si problèmes, j'ai une autre adresse...
============================

Pour tes dysfonctionnements avec IE, tu peux essayer ceci :

Lance IE et clique sur le menu "Outils" >> "Options Internet..."
Clique sur l'onglet "Sécurité" (au haut), clique sur "Internet" (globe terrestre), puis clique le bouton "Niveau par défaut" (au bas). Clique Ok, puis ferme IE. Relance-le et essaie le scan en ligne chez Panda à nouveau, et "Silent Runners" également. On ne sait jamais... si tes paramètres de sécurité dans IE ont été modifiés par la bestiole, cette petite manip pourrait dépanner.

Colle les rapports si tu réussis à lancer l'un ou l'autre (ou les deux). Dis nous également si ça s'est bien passé avec le upload de fichier chez SpyKiller ;-)
0
Réponse 51 / 66
Utilisateur anonyme
 
Salut à tous et toutes

Qc001,
je viens de tester l'installation de mailskinner, chez moi les fichiers portaient le nom suivant:
swauxe_navps.dat
swauxe.dat
backgrd.jpg
swauxe_nav.dat
msclock32.dll
msegcompid.dll
swauxe.exe
pack.epk
ainsi que C:\WINDOWS\System32\msupd.exe qui apparaît un peu plus tard, on peut le voir dans hijackthis après un reboot dans les runonce et s'efface au reboot d'après.

Pour swauxe.exe, il est invisible dans le gestionnaire des tache, dans le registre, ou dans un log de total uninstall par exemple.
On dirait qu'il est rootkitisé, lol.
Avec processxp on retrouve sa trace dans 3 PID de svchost.exe, je sais pas si ça a son importance.
Je les ai tous conservés, tu penses que ça peut interesser Metallica ?

a+
0
Réponse 52 / 66
Qc001 Messages postés 256 Statut Membre 17
 
LOL !!

Belle infection que tu as là, Moe :-)

Pieter me dit que le .exe qui s'installe a tendance à changer de nom avec le temps, donc c'est pour cette raison que l'entrée dans "Ajout/Suppression de programmes" peut ne pas pointer vers le bon, d'où l'importance d'utiliser KillBox sur le processus vu par Silent Runners (ou par HijackThis + Extra). Le script de Mosaïc1 fait le travail également. Il est coquin ce petit... et ressemble effectivement à un rootkit. Le passage du script/BFU le fait apparaître également. Mon expertise perso s'arrête là..lol Metallica s'infecte avec ces pestes depuis l'été dernier, donc il connaît bien mieux que moi ! (j'ai pas de VM..)

Les fichiers .dat ne sont plus dangeureux après éradication du .exe, mais ce sont des déchets, donc virables :-)

Ce qu'il recherche activement par contre, ce sont deux fichiers qu'il a vu apparaître et disparaître rapidement avec certaines variantes ; nous pourrons sûrement en discuter lorsque tu viendras nous rejoindre sur un espace prévu à cet effet ;-)

@+
0
Réponse 53 / 66
rocambolo Messages postés 124 Statut Membre
 
SOS... Qc001, Regis59, moe31...

Je pense avoir fait une fausse manip en suivant les directives de Qc001...

en effet dans un post précédent ( N° 52) il m'envoi sur un forum sur lequel il me dit notamment de poster après recherche ce fichier:
" C:\!Submit\vpjtqhxio.exe"
à partir de la fenetre de recherche, j'essaie de trouver le fichier sur mon disque dur..

Comme je ne vois pas le dossier "!Submit" je laisse de côté la fenetre recherche et je vais voir directement sur mon disque dur où je trouve le fichier "vpjtqhxio.exe" dans
"c:\windows\system32\vpjtqhxio.exe"
puis , pensant que j'étais dans la fenêtre de recherche du post du forum "thespykiller" j'ai voulu le selectionner, j'ai cliqué dessus... et il s'est exécuté... le dit fichier a disparu ???

Deplus j'ai peutêtre mal interprété "!Submit" car ce satané fichier était dans "windows\system32"

Avant de faire une autre béttise et pendant que j'ai la main sur l'ordi, je vous demande ce que je peux faire... Jai peur d'agraver le problème en redémarrant le PC..

Espérant une réponse, je reste un peu devant le PC... sinon je pense que je le laisserai en marche dans l'attente d'un conseil

Merci d'avance
0
Réponse 54 / 66
Qc001 Messages postés 256 Statut Membre 17
 
Salut Rocambolo :-)

Ne t'en fais pas... Ce fichier est bien incrusté, donc il semble être recréé et lancé à chaque démarrage. Cliquer dessus n'aggrave rien, puisque tu es toujurs infecté..lol ! D'où l'importance de faire analyser ce fichier afin de modifier l'outil en conséquence. Il a disparu, mais il va réapparaître après redémarrage, fort probablement.

Le dossier C:\!Submit est créé lors de l'installation de KillBox, et tous les fichiers tués s'y retrouvent (en quarantaine, si tu veux..). Si tu ne vois pas ce dossier, ben c'est un problème !!, car il devrait y être. Si le fichier n'est pas dedans, c'est parce que l'outil ne l'a pas supprimé lors des manips.

Alors... redémarre le PC, puis recherche le fichier dans System32 (et/ou dans !Submit), puis uploade-le chez SpyKiller.

Tu peux également regarder pour la sécurité dans Internet Explorer, sait-on jamais...
0
Réponse 55 / 66
Qc001 Messages postés 256 Statut Membre 17
 
Edit :

Rocambolo ; j'aimerais que tu vérifies si tu as ce dossier sur ta bécane :

C:\!KillBox

..car le créateur a remanié l'outil à quelques reprises, récemment, et il peut utiliser ce dossier-là comme quarantaine... Si oui, ben tu pourrais bien avoir :
C:\!KillBox\vpjtqhxio.exe

Si oui, tu peux le soumettre chez SpyKiller :-)
0
Réponse 56 / 66
rocambolo Messages postés 124 Statut Membre
 
B'jour ... Qc001

Ouf... je me suis fait une de ces peurs...

Bon tu me rassures...

J' ai effectivement trouvé le fichier dans le dossier "!killbox"

Je m'en faire le manipe sur le forum indiqué

Merci ... à plus
0
Réponse 57 / 66
rocambolo Messages postés 124 Statut Membre
 
Ok le fichier a été posté sans problème

Donc je... nous attendons la réponse

Qc001, Regis59, Moe31 ......
Dans cet attente, est-ce que je
supprime ( ajout/suppression) "vpjtqhxio"

Puis supprime

C:\WINDOWS\system32\vpjtqhxio.exe
C:\WINDOWS\system32\vpjtqhxio_navps.dat
C:\WINDOWS\system32\vpjtqhxio.dat
C:\WINDOWS\system32\vpjtqhxio_nav.dat
C:\WINDOWS\system32\msegcompid.dll
C:\WINDOWS\system32\msclock32.dll

à plus
0
Réponse 58 / 66
rocambolo Messages postés 124 Statut Membre
 
une suite à mon post prédédent

J' vu vu un dossier "logs" dans "!Killbox"

je colle le log qui est dans ce dossier

Pocket Killbox version 2.0.0.588
Running on Windows XP as ROCAMBOL(Administrator)
was started @ dimanche, février 12, 2006, 3:01 PM

# 1 [Delete on Reboot]
Path = c:\windows\system32\vpjtqhxio.exe

# 2 [Delete on Reboot]
Path = c:\windows\system32\vpjtqhxio.exe

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 3:05:56 PM
# 3 [Delete on Reboot]
Path = c:\windows\system32\vpjtqhxio.exe

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 3:07:25 PM
Killbox Closed(Exit) @ 3:07:33 PM
__________________________________________________

Pocket Killbox version 2.0.0.588
Running on Windows XP as ROCAMBOL(Administrator)
was started @ lundi, février 13, 2006, 12:57 PM

# 1 [Delete on Reboot]
Path = C:\windows\system32\vpjtqhxio.exe

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 1:00:46 PM
Killbox Closed(Exit) @ 1:01:11 PM

à plus
__________________________________________________
0
Réponse 59 / 66
Qc001 Messages postés 256 Statut Membre 17
 
Salut Rocambolo, et merci pour le fichier :-)

Ok, tu peux supprimer tous ces ficheirs maintenant (en Sans Échec).

Poste un nouveau bothlog par la suite. As-tu essayé de modifier les paramètres de sécurité dans Internet Explorer ?
0
Réponse 60 / 66
rocambolo Messages postés 124 Statut Membre
 
Bonsoir

Finalement j'ai, en attendant, supprimé( avec ajout/suppression) "vpjtqhxio"

Puis j'ai supprime ( en mode sans échec)

C:\WINDOWS\system32\vpjtqhxio.exe
C:\WINDOWS\system32\vpjtqhxio_navps.dat
C:\WINDOWS\system32\vpjtqhxio.dat
C:\WINDOWS\system32\vpjtqhxio_nav.dat
C:\WINDOWS\system32\msegcompid.dll

par contre je n'ai pas trouvé:
C:\WINDOWS\system32\msclock32.dll

J'ai relancé le PC... pour l'instant "vpjtqhxio" n'est pas réapparu dans "ajout/suppression de programme"

Je n'ai pas encore modifié IE

je colle un "both.log"

Logfile of HijackThis v1.99.1
Scan saved at 19:06:03, on 15/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SM1BG.EXE
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\MMTray.exe
C:\WINDOWS\system32\MMTray2k.exe
C:\WINDOWS\system32\MMTrayLSI.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\00 compile\stop pub\dpps2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Micro Application\9 DICOS Indispensables\MediaDICO9.EXE
C:\Program Files\PROMT98\INTEGRAL\pinmenu.exe
C:\Program Files\Micro Application\9 DICOS Indispensables\Rac9.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\setuphjt\HijackThis.exe
C:\WINDOWS\system32\ping.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\00 compile\stop pub\dpps2.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [MediaDico9] C:\Program Files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe Lancement
O4 - Startup: Intégrateur PROjectMT 98.lnk = C:\Program Files\PROMT98\INTEGRAL\PINSTART.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACEDC5D5-1696-4662-A142-BD378E085F8B}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

doesn't exist HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
doesn't exist HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iexplore.exe
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SM1BG"="C:\\WINDOWS\\SM1BG.EXE"
"RoxioEngineUtility"="\"C:\\Program Files\\Fichiers communs\\Roxio Shared\\System\\EngUtil.exe\""
"RoxioDragToDisc"="\"C:\\Program Files\\Roxio\\Easy CD Creator 6\\DragToDisc\\DrgToDsc.exe\""
"RoxioAudioCentral"="\"C:\\Program Files\\Roxio\\Easy CD Creator 6\\AudioCentral\\RxMon.exe\""
"SoundMAXPnP"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="\"C:\\Program Files\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"CloneCDTray"="C:\\Program Files\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe"
"ElbyCheckElbyCDFL"="\"C:\\Program Files\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"MMTray"="MMTray.exe"
"MMTray2K"="MMTray2k.exe"
"MMTrayLSI"="MMTrayLSI.exe"
"AdobeVersionCue"="C:\\Program Files\\Adobe\\Adobe Version Cue\\ControlPanel\\VersionCueTray.exe"
"Pop-Up Stopper"="\"C:\\00 compile\\stop pub\\dpps2.exe\""
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\MSMSGS.EXE\" /background"
"MediaDico9"="C:\\Program Files\\Micro Application\\9 DICOS Indispensables\\LanceMediaDICO9.exe Lancement"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
@=""

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido]
@="{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\EzCddax]
@="{46E22146-59C0-4136-9233-52E412E2B428}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\MatroskaContextMenu]
@="{789111D8-68A3-46a3-9663-145A3FF4C9C9}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With]
@="{09799AFB-AD67-11d1-ABCD-00C04FC30936}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu]
@="{A470F8CF-A1E8-4f65-8335-227475AA5C46}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\PromtMenu]
@="{A60A80A1-2900-11d1-B713-0020AFBCE948}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR]
@="{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip]
@="{E0D79304-84BE-11CE-9641-444553540000}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ZFAdd]
@="{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Épingle du menu Démarrer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{0cab0400-7395-11d0-a5e5-0020afe2fdd9}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"

Scheduled Tasks Folder Contents
*
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\SA.DAT
0

Discussions similaires

XINPUT1_3.dll manquant (missing)
Maxirugue -
dan -

39 réponses
Xinput1_3.dll
OhDatBrute -
OhDatBrute -

9 réponses
Probleme d'installation jeu pc (il manquerait " XINPUT1_3.dll)
Rogerleraton -
Rogerleraton -

6 réponses
Problème avec XINPUT1_3.dll
Albansineux02 -
Panth33ra -

1 réponse
Probleme DLL manquante
Pattrice62460 -
Pattrice62460 -

30 réponses