Cheval de Troie pénible.... Fermé

Question

Bonjour,Voila, j'y connais (presque) rien en informatique et j'ai besoin de vos conseils avisés s'il vous plait. Je vous remercie d'avance de votre aide.J'ai un anti virus, AVG qui me détecte un Cheval de Troie Clicker.FR. Il se trouve dans C: WINDOWS\System32\sphlp32.exe. La fenetre de Virus Détecté s'affiche mais je ne peux ni le supprimer, ni le réparer, ni le mettre en quarantaine car "le programme est en cours d'exécution". Or à part Internet Explorer, rien n'est en route...J'ai cherché ce fameux sphlp32.exe dans mes programmes mais je ne trouve rien, comme s'il n'existait pas.Merci de vos conseils

Utilisateur anonyme · Answer

salut supprime le manuelement comme ceci 1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume) 2.  affiche les fichier cacher comme ceci : clicker sur demarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Puis fais «Ok» pour valider les changements. Decocher masquer les extentions dont le type est connues 3.ensuite va dans demarrer/rechercher et tape: sphlp32.exe suprime le et  vide ta corebeille refait un scan si tt va bien masque les fichiers caché en suivant le meme chemin @+++++++++++

big_novice · Answer

Bonjour,J'ai effectivement suivi tes conseils à la lettre et force est de constater que ce charmant Cheval de Troie est toujours là à me pourrir la vie...Une autre solution à me proposer ?Merci d'avance à tous et toutes.

big_novice · Answer

Merci de ton aide Kristopher,Cependant, je viens d utiliser l'antivirus en ligne mais le cheval de troie est toujours la !!!c'est ralant...Merci encore pour d'autre solutions @+

big_novice · Answer

Bonsoir a vous tous,Kristopher m'a bien aidé, mais je compte sur vous tous pour prendre le relais et faire avancer le schmilblick !!!Voici le log de HijackThis :Logfile of HijackThis v1.99.1Scan saved at 20:49:06, on 13/02/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\windows\System32\smss.exeC:\windows\system32\csrss.exeC:\windows\system32\winlogon.exeC:\windows\system32\services.exeC:\windows\system32\lsass.exeC:\windows\System32\Ati2evxx.exeC:\windows\system32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\windows\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\windows\system32\Ati2evxx.exeC:\windows\Explorer.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Apoint2K\Apoint.exeC:\windows\AGRSMMSG.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Apoint2K\Apntex.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeC:\Program Files\HPQ\Quick Launch Buttons\EabServr.exeC:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\WINDOWS\System32\hphmon05.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exeC:\Program Files\QuickTime\qttask.exeC:\PROGRA~1\Grisoft\AVG7\avgcc.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\windows\System32\ctfmon.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\windows\Explorer.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX01.859\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeO4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /StartO4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exeO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeSi ca peux vous servir, parce que pour moi...Merci a tous ceux qui m aideront (et aux autres!)

Utilisateur anonyme · Answer

SalutTélécharge ceci http://cjoint.com/?cnvaqFvPFFDécompresse Hcsrch.zipLance Hcsrch.exeUn rapport va etre dans le bloc-noteCopie/colle le ici stpa+

incognito02 · Answer

Bonsoir,Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188 Recherche et supprime ce fichier : C:\windows\System32\yaemu.exePrécise tes soucis si il en reste.bon courage.A+

Utilisateur anonyme · Answer

re,Fais moi poste 7 stp

incognito02 · Answer

Excuses moi Quentin !Tu a été plus rapide que moi !Vous faites un concours avecBalltrap à celui qui dégainera le plus vite ! lolJe te laisse oeuvrer !A++

Utilisateur anonyme · Answer

salut lance hijack / coche ces ligne puis clike sur "fix checked"O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188 O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188 O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188 O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188 O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188 1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume) 2. affiche les fichier cacher comme ceci : clicker sur demarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Puis fais «Ok» pour valider les changements. Decocher masquer les extentions dont le type est connues 3.ensuite va dans demarrer/rechercher et tape: yaemu.exe sphlp32.exesuprime le et vide ta corebeille refait un scan si tt va bien masque les fichiers caché en suivant le meme chemin redemare en mode normal :telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancées)(1) ad-aware version 1.06 (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite voir demo http://pageperso.aol.fr/balltrap34/adwseflash.zip *** (2) spybot version 1.4 (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite voir demo d utilisation http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm *** ps : un grand merci a balltrap pour les lien :) (3) Edwido  http://download.ewido.net/ewido-setup.exe Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour. Clique sur scanner puis sur scan complet du système. puis colle le rapport ici suivi d'un hijack@+++++++++++++

Utilisateur anonyme · Answer

Incognito,On me surnommait Lucky LukeEt je redemande une nouvelle foisTélécharge cecihttp://cjoint.com/?cnvaqFvPFFDécompresse Hcsrch.zipLance Hcsrch.exeUn rapport va etre dans le bloc-noteCopie/colle le ici stpa+

Utilisateur anonyme · Answer

dsl je suis lente en redaction  j'ai pas vu vos postes @++++++++++++bonne soirée

Utilisateur anonyme · Answer

Pas grave ;-)bon courage

big_novice · Answer

Bonsoir a tous et merci de votre élan de solidarité...La vache, vous avez dégainé vite !!!Alors voici le log de hcsrch pour regis59 :Rapport fait à 21:19:56,54 le 13/02/2006Executé à partir de C:\Documents and Settings\BOISSIS Franck\BureauOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...\ruinsWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]"xedocne"=hex:c7,3d,00,00,b9,a8,8f,9b,9e,91,fa,38,f9,e2,c9,13,00,00,00"repiwoh"=hex:21,49,00,00,1c,0d,3d,27,24,3b,56,82,53,44,63,13,00,00,00"23plhps"=hex:75,6a,00,00,7d,78,78,4c,50,15,62,6e,0f,30,3f,13,00,00,00"mgcppp"=hex:b8,4b,00,00,bd,b5,8d,b6,aa,98,23,d0,e5,c0,12,00,00,00"tesvaf"=hex:51,4c,00,00,22,2f,62,69,03,78,ba,7b,1c,6b,12,00,00,00"32refaselif"=hex:1f,4d,00,00,10,15,2e,29,27,3d,40,49,44,8c,b7,a0,71,6a,81,17,\  00,00,00"gib_ogol"=hex:8e,43,00,00,6f,60,50,50,58,4d,32,38,69,2e,e3,1e,14,00,00,00"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:31,49,00,00,39,f5,cf,db,c0,db,a1,\  ac,b2,83,87,8a,81,99,5b,68,76,6a,41,73,5f,49,33,2c,0b,3c,07,0e,00,08,e3,e7,\  e6,fe,c0,d8,c1,13,2e,00,00,00"qcwmd"=hex:68,18,00,00,59,48,7a,66,6c,2b,08,2d,18,11,00,00,00"dcebj"=hex:e8,24,00,00,c7,d7,e8,e6,f9,ab,88,ad,98,11,00,00,00*********************************************Fichiers détectés :C:\windows\rdt.ini Présent !*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\windows\System32dmkuq.exedmmfa.exedmugn.exedmwvg.exeyaemu.exe*********************************************Recherche presence  hclean32.exe... non trouvé...

Utilisateur anonyme · Answer

Re,Télécharge kill box ici:http://www.killbox.net/downloads/KillBox.exe Mais on s en servira apres-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Déconnecte toi d'internet c'est important puis vérifie ceci: demarrer > connection > clic droit sur ta connection > propriétés gestion de reseau assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement" valide avec ok  ----------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O4 - HKLM\..\Run: [yaemu.exe] C:\windows\System32\yaemu.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188 -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ ouvre le bloc note et copie et colle ceci à l'interieur: REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\HCLEAN32.EXE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion] "Disabled"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"=- "System"="" [-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut] Puis enregistrer sous et dans: Nom du fichier, met fix.reg Type de fichier: selectionne "tous les fichiers" clic sur enregistrer ensuite double clic sur fix.reg et accepte de fusionner -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ ouvre le bloc note et copie et colle la liste des fichiers à supprimer ci-dessousune fois fait, enregistre le à un endroit ou tu pourras le retrouver facilement (sur le bureau par exemple).Voici la liste:C:\windows\System32\yaemu.exeC:\windows\rdt.ini C:\windows\System32\C:\windows\System32\dmkuq.exeC:\windows\System32\dmmfa.exeC:\windows\System32\dmugn.exeC:\windows\System32\dmwvg.exe-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 1/Double-clic sur KillBox.exe (Pocket Killbox) 2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer, clic sur edition dans le menu du haut et clic sur "selectionner tout"3/ clic une seconde fois sur "edition" et clic sur "copier"4/ referme le bloc note.5/ Dans killbox, selectionne "Delete on Reboot" puis clic sur "ALL FILES"6/ Dans le menu du haut clic sur File, puis sur paste from clipboard(tu devrais voir apparaitre la liste des fichier qu'il va supprimer)7/ clic sur le rond rouge8/ une fenetre va apparaitre pour confirmation clic sur OUI9/ une seconde fenetre te demande si tu veux redemarrer clic sur OUISi le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:"Pending file Rename Operations Registry Data has been Removed by External Process"ignore le et redemarre le pc normallementRemet un rapport Hijackthis + le programme Hcsrcha+-- Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

big_novice · Answer

Re,Voici le loh de hitjackThis :Logfile of HijackThis v1.99.1Scan saved at 22:12:02, on 13/02/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\windows\System32\smss.exeC:\windows\system32\csrss.exeC:\windows\system32\winlogon.exeC:\windows\system32\services.exeC:\windows\system32\lsass.exeC:\windows\System32\Ati2evxx.exeC:\windows\system32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\windows\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\windows\system32\Ati2evxx.exeC:\windows\Explorer.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Apoint2K\Apoint.exeC:\windows\AGRSMMSG.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Apoint2K\Apntex.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeC:\Program Files\HPQ\Quick Launch Buttons\EabServr.exeC:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\WINDOWS\System32\hphmon05.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exeC:\Program Files\QuickTime\qttask.exeC:\PROGRA~1\Grisoft\AVG7\avgcc.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\windows\System32\ctfmon.exeC:\Program Files\Internet Explorer\iexplore.exeC:\windows\Explorer.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX00.328\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeO4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /StartO4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [dmwcq.exe] C:\windows\System32\dmwcq.exeO4 - HKLM\..\Run: [jbecd.exe] C:\windows\System32\jbecd.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 80.10.246.130 80.10.246.3O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exeO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeEt celui de hcsrch :Rapport fait à 22:12:56,49 le 13/02/2006Executé à partir de C:\Documents and Settings\BOISSIS Franck\BureauOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...uins*********************************************Fichiers détectés :C:\windowsdt.ini Présent !*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\windows\System32dmkuq.exedmmfa.exedmugn.exedmwcq.exedmwvg.exeyaemu.exe*********************************************Recherche presence  hclean32.exe... non trouvé... Voila, simplement je nai  pas utilisé KillBox comme tu me l'as demandé... J'ai vu dans la liste des programmes, certains qui me semblaient important, style AVG ou autre donc je n'ai rien suppriméJ'ai pas pris le risque...Faut il ?

big_novice · Answer

Re,Pour info, le cheval de troie est toujours la et un autre s'est ajouté visiblement car j ai désormais une barre de tache en anglais juste en dessous de la barre d adresse avec gambing internet pharmacy finance insurance adultLa, faut m aider mes chers amis internautes !!A toute

Utilisateur anonyme · Answer

SalutCa ressemble a ca?http://img213.imageshack.us/my.php?image=prsentation15bb.jpg Télécharge ceci:http://cjoint.com/?cnwynEnvhjLance le programme nommé Moe-RegisLe bloc note s'ouvre.copie/colle le rapporta+

big_novice · Answer

Bonsoir,Non, ca ne ressemble pas a l image mais c est juste en dessous de la barre d adresse internet avec Remove Toolbar, a coté il y a ce qui s apparente a un moteur de recherche puis Gamblin etc... avec des petites loupes a coté de chaque rubrique...Voici le log du programme et oui on voit des trucs présents... mais comment les virer ?Voila le log :Rapport fait à 19:53:12,68 le 14/02/2006Executé à partir de C:\Documents and Settings\BOISSIS Franck\BureauOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...\ruinsWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]"xedocne"=hex:19,04,00,00,eb,1a,d9,25,c8,c3,54,8a,ab,4c,9b,13,00,00,00"gib_ogol"=hex:e7,04,00,00,c6,cb,eb,fb,f3,f4,95,83,c0,91,ba,a1,14,00,00,00"repiwoh"=hex:b5,4c,00,00,88,b9,89,b3,90,a7,e2,2e,cf,f0,ff,13,00,00,00"23plhps"=hex:44,57,00,00,22,29,09,1d,01,ca,b3,bf,7c,61,4c,13,00,00,00"mgcppp"=hex:18,08,00,00,1d,15,2d,d6,ca,38,83,b0,45,a0,12,00,00,00"tesvaf"=hex:de,57,00,00,d1,a2,f1,fc,f6,ef,c9,8e,83,9e,12,00,00,00"32refaselif"=hex:b0,09,00,00,83,84,b9,b8,96,ac,d3,d8,f7,3f,06,33,e0,d5,10,17,\  00,00,00"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:c6,17,00,00,d4,60,5a,a6,bf,46,3c,\  3b,29,2e,12,11,fc,04,f6,f7,ed,11,dc,de,ca,34,4e,bb,a6,ab,92,95,7f,77,7e,72,\  9d,65,5f,a7,bc,fe,2e,00,00,00"ocrmd"=hex:4f,64,00,00,26,21,64,1f,0b,c0,71,0a,61,11,00,00,00"ojubj"=hex:9d,64,00,00,92,62,b7,aa,b9,76,c7,d8,d7,11,00,00,00*********************************************Fichiers détectés :C:\windows\balloon.wav Présent !C:\windows\rdt.ini Présent !C:\windows\system32\favset.exe Présent !C:\windows\system32\filesafer23.exe Présent !C:\windows\System32\howiper.exe Présent !C:\windows\System32\pppcgm.exe Présent !C:\windows\System32\sphlp32.exe Présent !*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\windows\System32csrsx.exedmkuq.exedmmfa.exedmrco.exedmugn.exedmwvg.exe*********************************************Recherche presence  C:\windows\System32\idemlog.exe... non trouvé...Merci d'avance de ton aide !!!

Utilisateur anonyme · Answer

Salutouvre le bloc note et copie et colle ceci à l'interieur:REGEDIT4[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins][-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]Puis enregistrer sous et dans:Nom du fichier, met fix.regType de fichier: selectionne "tous les fichiers"clic sur enregistrerensuite double clic sur fix.reg et accepte de fusionner-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ouvre le bloc note et copie et colle la liste des fichiers à supprimerci-dessousune fois fait, enregistre le à un endroit ou tu pourras le retrouverfacilement (sur le bureau par exemple).Voici la liste:C:\windows\balloon.wav C:\windows\rdt.ini C:\windows\system32\favset.exe C:\windows\system32\filesafer23.exe C:\windows\System32\howiper.exe C:\windows\System32\pppcgm.exe C:\windows\System32\sphlp32.exe C:\windows\System32\csrsx.exeC:\windows\System32\dmkuq.exeC:\windows\System32\dmmfa.exeC:\windows\System32\dmrco.exeC:\windows\System32\dmugn.exeC:\windows\System32\dmwvg.exe -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_1/Double-clic sur KillBox.exe (Pocket Killbox)2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer,clic sur edition dans le menu du haut et clic sur "selectionner tout"3/ clic une seconde fois sur "edition" et clic sur "copier"4/ referme le bloc note.5/ Dans killbox, selectionne "Delete on Reboot" puis clicsur "ALL FILES"6/ Dans le menu du haut clic sur File, puis sur pastefrom clipboard(tu devrais voir apparaitre la liste des fichier qu'il va supprimer)7/ clic sur le rond rouge8/ une fenetre va apparaitre pour confirmation clic sur OUI9/ une seconde fenetre te demande si tu veux redemarrer clic surOUISi le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:"Pending file Rename Operations Registry Data has been Removed byExternal Process"ignore le et redemarre le pc normallementRemet un rapport Hijackthis + le programme Hcsrcha+

big_novice · Answer

Bonsoir,Deja merci car je crois que mon probleme de cheval de troie est barré !!!Voici le log HitjachThis : Logfile of HijackThis v1.99.1Scan saved at 21:56:43, on 15/02/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\windows\System32\smss.exeC:\windows\system32\csrss.exeC:\windows\system32\winlogon.exeC:\windows\system32\services.exeC:\windows\system32\lsass.exeC:\windows\System32\Ati2evxx.exeC:\windows\system32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\windows\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\windows\system32\Ati2evxx.exeC:\windows\Explorer.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Apoint2K\Apoint.exeC:\windows\AGRSMMSG.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeC:\Program Files\Apoint2K\Apntex.exeC:\Program Files\HPQ\Quick Launch Buttons\EabServr.exeC:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\WINDOWS\System32\hphmon05.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exeC:\Program Files\QuickTime\qttask.exeC:\PROGRA~1\Grisoft\AVG7\avgcc.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\windows\System32\ctfmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\windows\Explorer.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX00.735\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO1 - Hosts: localhost 127.0.0.1O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\windows\System32\fwqff.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\windows\System32\fwqff.dllO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeO4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /StartO4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [jbgjp.exe] C:\windows\System32\jbgjp.exeO4 - HKLM\..\Run: [dmgfo.exe] C:\windows\System32\dmgfo.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exeO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeEt le Hcsrch :Rapport fait à 21:57:42,76 le 15/02/2006Executé à partir de C:\Documents and Settings\BOISSIS Franck\BureauOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...uinsWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins]"xedocne"=hex:19,04,00,00,eb,1a,d9,25,c8,c3,54,8a,ab,4c,9b,13,00,00,00"gib_ogol"=hex:e7,04,00,00,c6,cb,eb,fb,f3,f4,95,83,c0,91,ba,a1,14,00,00,00"repiwoh"=hex:49,13,00,00,24,25,65,1f,0c,13,7e,ba,7b,1c,4b,13,00,00,00"23plhps"=hex:16,14,00,00,1c,1b,db,2f,33,f4,8d,89,ae,53,9e,13,00,00,00"mgcppp"=hex:18,08,00,00,1d,15,2d,d6,ca,38,83,b0,45,a0,12,00,00,00"tesvaf"=hex:e1,14,00,00,d2,df,f2,f9,f3,e8,ca,8b,8c,9b,12,00,00,00"32refaselif"=hex:b0,09,00,00,83,84,b9,b8,96,ac,d3,d8,f7,3f,06,33,e0,d5,10,17,\  00,00,00"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:46,6d,00,00,54,e0,da,26,3f,c6,bc,\  bb,a9,ae,92,91,7c,84,76,77,6d,91,5c,5e,4a,b4,ce,3b,26,2b,12,15,ff,f7,fe,f2,\  1d,e5,df,27,3c,7e,2e,00,00,00"pjgbj"=hex:4d,65,00,00,22,32,11,1a,08,c6,77,08,67,11,00,00,00"ofgmd"=hex:33,65,00,00,02,3d,3f,34,17,dc,5d,66,4d,11,00,00,00*********************************************Fichiers détectés :C:\windowsdt.ini Présent !*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\windows\System32dmgfo.exe*********************************************Recherche presence  C:\windows\System32\idemlog.exe... non trouvé...Par ailleurs, la barre en dessous en anglais avec Gambling, Internet, Pharmacy... en dessous de celle d'adresse internet est toujours la !!!Donc, je suppose qu il doit encore rester une ou deux saloperies collées a mon PC...Merci une fois de plus a vous tous et toutes !!!

Utilisateur anonyme · Answer

lolTu traines ou, c est pas possible lolDans ajout/suppression de programme, desinstalles si tu as ceci:UnSpyPC-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_Déconnecte toi d'internet c'est importantpuis vérifie ceci:demarrer > connection > clic droit sur ta connection > propriétésgestion de reseauassure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"valide avec ok-----------------------------------------------------------------¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\windows\System32\fwqff.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\windows\System32\fwqff.dll O4 - HKLM\..\Run: [jbgjp.exe] C:\windows\System32\jbgjp.exe O4 - HKLM\..\Run: [dmgfo.exe] C:\windows\System32\dmgfo.exe O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe" O17 - HKLM\System\CCS\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{5BBCDEEF-9E87-4C50-AE99-F80DDB513337}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 85.255.116.154 85.255.112.188O17 - HKLM\System\CS1\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188O17 - HKLM\System\CS2\Services\Tcpip\..\{03EEB74D-0D35-4E14-BC4B-0D0EBFA44333}: NameServer = 85.255.116.154,85.255.112.188 -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ouvre le bloc note et copie et colle ceci à l'interieur:(sans les etoiles, que ce qu il y a entre les etoiles)****************************REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins]"xedocne"=-"gib_ogol"=-"repiwoh"=-"23plhps"=-"mgcppp"=-"tesvaf"=-"32refaselif"=-00,00,00"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=-"pjgbj"=-"ofgmd"=-***********************************Puis enregistrer sous et dans:Nom du fichier, met fix.regType de fichier: selectionne "tous les fichiers"clic sur enregistrerensuite double clic sur fix.reg et accepte de fusionner-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ouvre le bloc note et copie et colle la liste des fichiers à supprimerci-dessousune fois fait, enregistre le à un endroit ou tu pourras le retrouverfacilement (sur le bureau par exemple).Voici la liste:C:\windowsdt.ini C:\windows\System32\dmgfo.exeC:\windows\System32\fwqff.dll C:\windows\System32\jbgjp.exe  C:\Program Files\UnSpyPC -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_1/Double-clic sur KillBox.exe (Pocket Killbox)2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer,clic sur edition dans le menu du haut et clic sur "selectionner tout"3/ clic une seconde fois sur "edition" et clic sur "copier"4/ referme le bloc note.5/ Dans killbox, selectionne "Delete on Reboot" puis clicsur "ALL FILES"6/ Dans le menu du haut clic sur File, puis sur pastefrom clipboard(tu devrais voir apparaitre la liste des fichier qu'il va supprimer)7/ clic sur le rond rouge8/ une fenetre va apparaitre pour confirmation clic sur OUI9/ une seconde fenetre te demande si tu veux redemarrer clic surOUISi le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:"Pending file Rename Operations Registry Data has been Removed byExternal Process"ignore le et redemarre le pc normallementRemet un rapport Hijackthis + le programme Hcsrcha+

big_novice · Answer

Oui je suis lent mais j ai des heures de travail... Je crois qu on le tient la bete !!!Voici le log HIthjack :Logfile of HijackThis v1.99.1Scan saved at 20:27:40, on 16/02/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\windows\System32\smss.exeC:\windows\system32\csrss.exeC:\windows\system32\winlogon.exeC:\windows\system32\services.exeC:\windows\system32\lsass.exeC:\windows\System32\Ati2evxx.exeC:\windows\system32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\windows\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\windows\system32\Ati2evxx.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\windows\Explorer.EXEC:\Program Files\Apoint2K\Apoint.exeC:\windows\AGRSMMSG.exeC:\Program Files\Apoint2K\Apntex.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeC:\Program Files\HPQ\Quick Launch Buttons\EabServr.exeC:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\WINDOWS\System32\hphmon05.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exeC:\Program Files\QuickTime\qttask.exeC:\PROGRA~1\Grisoft\AVG7\avgcc.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\windows\System32\ctfmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\windows\Explorer.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX00.845\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO1 - Hosts: localhost 127.0.0.1O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeO4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /StartO4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [dmzgr.exe] C:\windows\System32\dmzgr.exeO4 - HKLM\..\Run: [jbxzo.exe] C:\windows\System32\jbxzo.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exeO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeet le hcsrch :Rapport fait à 20:28:23,51 le 16/02/2006Executé à partir de C:\Documents and Settings\BOISSIS Franck\BureauOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...uinsWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins]"rgzmd"=hex:a2,4e,00,00,93,92,b9,a4,a1,6d,c2,d7,d2,11,00,00,00"ozxbj"=hex:bd,4e,00,00,b2,82,90,9a,99,56,e7,f8,f7,11,00,00,00"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:fc,12,00,00,e2,ae,90,ec,f5,8c,ea,\  e1,e7,f4,c8,df,ca,d2,2c,3d,3b,5f,0a,04,00,02,04,61,7c,71,48,43,35,3d,b4,b8,\  ab,b3,95,ed,8a,c4,2e,00,00,00*********************************************Fichiers détectés :*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\windows\System32dmzgr.exe*********************************************Recherche presence  C:\windows\System32\idemlog.exe... non trouvé...Alors reste t il des saloperies ?Merci

Utilisateur anonyme · Answer

Oui,Télécharge ewidoEwido:http://download.ewido.net/ewido-setup.exeInstallation puis mises à jour.-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ ouvre le bloc note et copie et colle ceci à l'interieur: *********REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion] "Disabled"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins] ************Puis enregistrer sous et dans: Nom du fichier, met www.reg Type de fichier: selectionne "tous les fichiers" clic sur enregistrer ensuite double clic sur fix.reg et accepte de fusionner-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :O4 - HKLM\..\Run: [dmzgr.exe] C:\windows\System32\dmzgr.exeO4 - HKLM\..\Run: [jbxzo.exe] C:\windows\System32\jbxzo.exe-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Recherche et supprime:C:\windows\System32\dmzgr.exeC:\windows\System32\jbxzo.exe-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ * Lancer et exécuter Ewido pour un scan complet et copier/coller le rapport en forum. a+

big_novice · Answer

Bonjour,Voici le log de ewido (bien efficace ce truc !!!) :--------------------------------------------------------- ewido anti-malware - Rapport de scan--------------------------------------------------------- + Créé le:		12:45:33, 17/02/2006 + Somme de contrôle:	4089B642 + Résultats du scan:	C:\Documents and Settings\BOISSIS Franck\Bureau\hijackthis_199.zip/backups/backup-20060216-200440-829.dll -> Adware.SBSoft : Ignoré	C:\Documents and Settings\BOISSIS Franck\Local Settings\Temp\Rar$EX00.641\backups\backup-20060216-200440-829.dll -> Adware.SBSoft : Ignoré	HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj -> Adware.CoolWebSearch : Nettoyer et sauvegarder	HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CLSID -> Adware.CoolWebSearch : Nettoyer et sauvegarder	HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CurVer -> Adware.CoolWebSearch : Nettoyer et sauvegarder	HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj.1 -> Adware.CoolWebSearch : Nettoyer et sauvegarder	HKLM\SOFTWARE\ShudderLTD -> Adware.PSGuard : Erreur durant le nettoyage	HKLM\SOFTWARE\ShudderLTD\PSGuard -> Adware.PSGuard : Erreur durant le nettoyage	HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard -> Adware.PSGuard : Erreur durant le nettoyage	HKLM\SOFTWARE\ShudderLTD\PSGuard\PSGuard\License -> Adware.PSGuard : Nettoyer et sauvegarder	[352] VM_02650000 -> Trojan.Pakes : Erreur durant le nettoyage	[3444] VM_001E0000 -> Trojan.Pakes : Erreur durant le nettoyage	C:\!KillBox\filesafer23.exe -> Hijacker.Small : Nettoyer et sauvegarder	C:\!KillBox\fwqff.dll -> Adware.SBSoft : Nettoyer et sauvegarder	C:\!KillBox\howiper.exe -> Trojan.Small.gq : Nettoyer et sauvegarder	C:\!KillBox\pppcgm.exe -> Adware.Msnagent : Nettoyer et sauvegarder	C:\Documents and Settings\All Users\Menu Démarrer\PopUp Blocker.url -> Adware.UnwantedIcons : Nettoyer et sauvegarder	C:\Documents and Settings\All Users\Menu Démarrer\Spyware Remover.url -> Adware.UnwantedIcons : Nettoyer et sauvegarder	C:\Documents and Settings\BOISSIS Franck\Cookies\boissis franck@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder	C:\Documents and Settings\BOISSIS Franck\Cookies\boissis franck@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder	C:\Documents and Settings\BOISSIS Franck\Cookies\boissis franck@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder	C:\Documents and Settings\BOISSIS Franck\Cookies\boissis franck@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder	C:\Documents and Settings\BOISSIS Franck\Cookies\boissis franck@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder	C:\Documents and Settings\BOISSIS Franck\Cookies\boissis franck@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder	C:\Documents and Settings\BOISSIS Franck\Cookies\boissis franck@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder	C:\Documents and Settings\BOISSIS Franck\Cookies\boissis franck@valueclick[1].txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder	C:\Documents and Settings\BOISSIS Franck\Cookies\boissis franck@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder	C:\eied_s7.cab/eied_s7_c_80.exe -> Downloader.Mediket.bq : Erreur durant le nettoyage	C:\Program Files\Microsoft AntiSpyware\Quarantine\4F4311EF-4796-4B81-9068-5D9494\FE42BD62-FCF9-490C-A2CC-8674F1 -> Hijacker.Agent.cu : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP66\A0047051.exe -> Not-A-Virus.RemoteAdmin.Win32.TFAK : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP68\A0048130.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP68\A0048142.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP68\A0048166.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP69\A0048235.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP69\A0048280.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP70\A0048335.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP72\A0048384.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP72\A0048426.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP72\A0048440.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP73\A0048501.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP73\A0048514.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP74\A0048546.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP74\A0048560.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP74\A0048578.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP74\A0048642.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP74\A0048658.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP74\A0048722.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP75\A0048779.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP75\A0048791.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP75\A0049793.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP76\A0049828.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP76\A0049860.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP76\A0049874.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP76\A0049903.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP76\A0049921.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP76\A0049971.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP76\A0050972.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP77\A0051023.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP77\A0052025.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP78\A0052080.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP78\A0052104.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP79\A0052121.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP80\A0052150.exe -> Adware.Msnagent : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP80\A0052151.exe -> Hijacker.Small : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP80\A0052165.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP81\A0052216.exe -> Downloader.Agent.tc : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP81\A0052242.exe -> Hijacker.Small : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP81\A0052243.exe -> Trojan.Small.gq : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP81\A0052244.exe -> Adware.Msnagent : Nettoyer et sauvegarder	C:\System Volume Information\_restore{CF4F4229-725D-400B-9DAF-A19F78B1789E}\RP82\A0052310.dll -> Adware.SBSoft : Nettoyer et sauvegarder::Fin du rapportDonc je pense qu'on a fait un bon nettoyage la...Si tu as besoin d'un autre log style hitjackthis ou hcsrch, suffit de demander !Merci à nouveau pour tout ce que tu fais.@+

Utilisateur anonyme · Answer

salutoui un hijack this + hcsrcha+

big_novice · Answer

Ok,Voici hitjackthis :Logfile of HijackThis v1.99.1Scan saved at 13:38:35, on 17/02/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\windows\System32\smss.exeC:\windows\system32\csrss.exeC:\windows\system32\winlogon.exeC:\windows\system32\services.exeC:\windows\system32\lsass.exeC:\windows\System32\Ati2evxx.exeC:\windows\system32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\windows\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\windows\system32\Ati2evxx.exeC:\windows\Explorer.EXEC:\Program Files\Apoint2K\Apoint.exeC:\windows\AGRSMMSG.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Apoint2K\Apntex.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeC:\Program Files\HPQ\Quick Launch Buttons\EabServr.exeC:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\WINDOWS\System32\hphmon05.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exeC:\Program Files\QuickTime\qttask.exeC:\PROGRA~1\Grisoft\AVG7\avgcc.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\windows\System32\ctfmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\windows\Explorer.EXEC:\Program Files\ewido anti-malware\ewidoguard.exeC:\Program Files\ewido anti-malware\ewidoctrl.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX00.109\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO1 - Hosts: localhost 127.0.0.1O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeO4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /StartO4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [dmrrg.exe] C:\windows\System32\dmrrg.exeO4 - HKLM\..\Run: [jbdyg.exe] C:\windows\System32\jbdyg.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 80.10.246.130 80.10.246.3O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exeO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exeO23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeet le second :Rapport fait à 13:39:39,59 le 17/02/2006Executé à partir de C:\Documents and Settings\BOISSIS Franck\BureauOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...uinsWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins]"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:7e,44,00,00,6c,28,12,6e,77,0e,74,\  63,61,76,4a,59,34,4c,ae,bf,a5,d9,94,86,82,fc,86,e3,fe,f3,ca,dd,b7,bf,36,3a,\  55,2d,17,6f,74,46,2e,00,00,00"gydbj"=hex:bd,79,00,00,b2,82,84,9b,91,56,e7,f8,f7,11,00,00,00"grrmd"=hex:d4,79,00,00,ad,dc,e3,eb,8e,bf,fc,81,ec,11,00,00,00*********************************************Fichiers détectés :*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\windows\System32dmrrg.exe*********************************************Recherche presence  C:\windows\System32\idemlog.exe... non trouvé...Voila, alors quelle manips reste il a faire, si il en reste...Merci

Utilisateur anonyme · Answer

reTélécharge fixwareout sur ton bureau : http://downloads.subratam.org/Fixwareout.exe Exécute-le et suis les invitations, à la fin, tu devras redémarrer.puis remet les 2rapportsa+

big_novice · Answer

Voici le log : Fixwareout ver 1.003Last edited 2/15/2006Post this report in the forums please  Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\}CD42B95DD210-0EC9-3F24-3C61-6035DE97{HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\gydbjHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\grrmdHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocneHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogolHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcpppHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselifHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\UrlsepiwohHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhpsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls	esvaf...Microsoft (R) Windows Script Host Version 5.6Random Runs removed from HKLM REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"dmrrg.exe"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]... PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.  »»»»» Search by size and names...  »»»»» Misc files  »»»»» Checking for older varients covered by the Rem3 toolVoila le log, que reste il a faire pour venir a bout de tout ca ?

Utilisateur anonyme · Answer

re,remet un hijack this + hcrsh, il devrait y avoir de l ameliorationa+

big_novice · Answer

Voici HitjackThis :Logfile of HijackThis v1.99.1Scan saved at 15:59:01, on 17/02/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\windows\System32\smss.exeC:\windows\system32\csrss.exeC:\windows\system32\winlogon.exeC:\windows\system32\services.exeC:\windows\system32\lsass.exeC:\windows\System32\Ati2evxx.exeC:\windows\system32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\Program Files\ewido anti-malware\ewidoctrl.exeC:\Program Files\ewido anti-malware\ewidoguard.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\windows\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\windows\system32\Ati2evxx.exeC:\windows\Explorer.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Apoint2K\Apoint.exeC:\windows\AGRSMMSG.exeC:\Program Files\Apoint2K\Apntex.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeC:\Program Files\HPQ\Quick Launch Buttons\EabServr.exeC:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\WINDOWS\System32\hphmon05.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exeC:\Program Files\QuickTime\qttask.exeC:\PROGRA~1\Grisoft\AVG7\avgcc.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\windows\System32\ctfmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\windows\Explorer.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX01.062\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeO4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /StartO4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [jbmyu.exe] C:\windows\System32\jbmyu.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exeO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exeO23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeet HCSRCH :Rapport fait à 16:00:22,15 le 17/02/2006Executé à partir de C:\Documents and Settings\BOISSIS Franck\BureauOS: Microsoft Windows XP [version 5.1.2600]*********************************************Vérification HKLM\...\...\...\...uinsWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins]"uymbj"=hex:ce,04,00,00,ad,ad,9e,ea,f6,41,f6,8b,e6,11,00,00,00"}CD42B95DD210-0EC9-3F24-3C61-6035DE97{"=hex:80,72,00,00,6e,2a,1c,68,71,08,76,\  7d,63,70,54,5b,36,4e,a8,b9,a7,db,96,80,8c,fe,80,fd,f8,ed,d4,df,b1,b9,30,34,\  57,2f,11,69,76,40,2e,00,00,00*********************************************Fichiers détectés :*********************************************Recherche des processus aleatoiresd'après les modèles : cs***.exe, dm***.exe, ya***.exeC:\windows\System32dmrrg.exe*********************************************Recherche presence  C:\windows\System32\idemlog.exe... non trouvé...Y a t il du mieux ou reste t il des saloperies ?A+

Utilisateur anonyme · Answer

salutTelecharge cecihttp://www.silentrunners.orgExecute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donneraA+

big_novice · Answer

Voici le log :"Silent Runners.vbs", revision 43, http://www.silentrunners.org/Operating System: Windows XPOutput limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"CTFMON.EXE" = "C:\windows\System32\ctfmon.exe" [MS]"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]"MessengerPlus3" = ""C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart" ["Patchou"]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"Apoint" = "C:\Program Files\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]"Cpqset" = "C:\Program Files\HPQ\Default Settings\cpqset.exe" [null data]"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [null data]"CamMonitor" = "C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe" [empty string]"eabconfg.cpl" = "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start" ["Hewlett-Packard "]"RoxioEngineUtility" = ""C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"" ["Roxio"]"RoxioDragToDisc" = ""C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"" ["Roxio"]"HPHUPD05" = "C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" ["Hewlett-Packard"]"HP Software Update" = ""C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"" [null data]"HPHmon05" = "C:\WINDOWS\System32\hphmon05.exe" ["Hewlett-Packard"]"WooCnxMon" = "C:\PROGRA~1\Wanadoo\CnxMon.exe" [empty string]"WOOWATCH" = "C:\PROGRA~1\Wanadoo\Watch.exe" ["France Télécom R&D"]"WOOTASKBARICON" = "C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [null data]"SpeedTouch USB Diagnostics" = ""C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon" ["THOMSON Telecom Belgium"]"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]"MessengerPlus3" = ""C:\Program Files\MessengerPlus! 3\MsgPlus.exe"" ["Patchou"]"gcasServ" = ""C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"" [MS]"jbmyu.exe" = "C:\windows\System32\jbmyu.exe" [null data]HKLM\Software\Microsoft\Active Setup\Installed Components\{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)                                       \StubPath   = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{5E44E225-A408-11CF-B581-008029601108}" = "Roxio DragToDisc Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\shellex.dll" ["Roxio"]"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"  -> {CLSID}\InProcServer32\(Default) = "C:\windows\System32\Audiodev.dll" [MS]"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"  -> {CLSID}\InProcServer32\(Default) = "C:\windows\System32\Audiodev.dll" [MS]"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"System" = (value not set)HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]HKLM\Software\Classes\PROTOCOLS\Filter\INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]The Cleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\THECLE~1\TCSHELLEX.DLL" [null data]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]The Cleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\THECLE~1\TCSHELLEX.DLL" [null data]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]The Cleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\THECLE~1\TCSHELLEX.DLL" [null data]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]Active Desktop and Wallpaper:-----------------------------Active Desktop is disabled at this entry:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellStateHKCU\Control Panel\Desktop\"Wallpaper" = "C:\WINDOWS\web\wallpaper\Colline verdoyante.bmp"Enabled Screen Saver:---------------------HKCU\Control Panel\Desktop\"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]Startup items in "BOISSIS Franck" & "All Users" startup folders:----------------------------------------------------------------C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage"Lancement rapide d'Adobe Reader" -> shortcut to: "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]Enabled Scheduled Tasks:------------------------"Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" [file not found]Winsock2 Service Provider DLLs:-------------------------------Namespace Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]Transport Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05Toolbars, Explorer Bars, Extensions:------------------------------------Extensions (Tools menu items, main toolbar menu buttons)HKCU\Software\Microsoft\Internet Explorer\Extensions\{1462651F-F4BA-4C76-A001-C4284D0FE16E}\"ButtonText" = "Wanadoo""Exec" = "http://www.wanadoo.fr" [file not found]HKLM\Software\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\"MenuText" = "Console Java (Sun)""CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"{92780B25-18CC-41C8-B9BE-3C9C571A8263}\"ButtonText" = "Recherche"Miscellaneous IE Hijack Points------------------------------C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")Added lines (compared with English-language version):[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"Missing lines (compared with English-language version):[Strings]: 1 lineHKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\"{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = "Search Class" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Wanadoo\SEARCH~1.DLL" [empty string]Running Services (Display Name, Service Name, Path {Service DLL}):------------------------------------------------------------------Ati HotKey Poller, Ati HotKey Poller, "C:\windows\System32\Ati2evxx.exe" ["ATI Technologies Inc."]AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]ewido security suite control, ewido security suite control, "C:\Program Files\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]ewido security suite guard, ewido security suite guard, "C:\Program Files\ewido anti-malware\ewidoguard.exe" ["ewido networks"]Kerio Personal Firewall 4, KPF4, "C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe" ["Kerio Technologies"]SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]Print Monitors:---------------HKLM\System\CurrentControlSet\Control\Print\Monitors\BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]----------+ This report excludes default entries except where indicated.+ To see *everywhere* the script checks and *everything* it finds,  launch it from a command prompt or a shortcut with the -all parameter.+ To search all directories of local fixed drives for DESKTOP.INI  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,  use the -supp parameter or answer "No" at the first message box.---------- (total run time: 73 seconds, including 8 seconds for message boxes)La, je n'y comprend rien...Merci de ton aide !

Utilisateur anonyme · Answer

re;Fix ceciO4 - HKLM\..\Run: [jbmyu.exe] C:\windows\System32\jbmyu.exe Téléchargement :http://www.killbox.net/downloads/KillBox.exeDouble clic sur killbox.exe (Pocket Killbox) - coche: delete on reboot - Dans "Full Path of File to Delete" copie et colle: C:\windows\System32\jbmyu.exe - clique sur la croix rouge - une fenêtre va apparaître pour confirmation clique sur YES - une seconde fenêtre te demande si tu veux redémarrer clique sur YES Si ce message s’affiche ignore le :http://tinypic.com/jsj7kl.jpg Laisse le pc redémarrer.Et après reposte un log HijackThis + silent runner A+

big_novice · Answer

voici les logs :Logfile of HijackThis v1.99.1Scan saved at 17:03:00, on 17/02/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\windows\System32\smss.exeC:\windows\system32\csrss.exeC:\windows\system32\winlogon.exeC:\windows\system32\services.exeC:\windows\system32\lsass.exeC:\windows\System32\Ati2evxx.exeC:\windows\system32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\System32\svchost.exeC:\windows\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\Program Files\ewido anti-malware\ewidoctrl.exeC:\Program Files\ewido anti-malware\ewidoguard.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\windows\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\windows\system32\Ati2evxx.exeC:\windows\Explorer.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Apoint2K\Apoint.exeC:\windows\AGRSMMSG.exeC:\Program Files\Apoint2K\Apntex.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeC:\Program Files\HPQ\Quick Launch Buttons\EabServr.exeC:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\WINDOWS\System32\hphmon05.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exeC:\Program Files\QuickTime\qttask.exeC:\PROGRA~1\Grisoft\AVG7\avgcc.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\windows\System32\ctfmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\Documents and Settings\BOISSIS Franck\Bureau\KillBox.exeC:\windows\Explorer.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\BOISSI~1\LOCALS~1\Temp\Rar$EX00.000\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeO4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /StartO4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [jbmyu.exe] C:\windows\System32\jbmyu.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{BE412DA9-87CF-4D3F-BC01-4C79E59D9309}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exeO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exeO23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeet pour silent runners :"Silent Runners.vbs", revision 43, http://www.silentrunners.org/Operating System: Windows XPOutput limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"CTFMON.EXE" = "C:\windows\System32\ctfmon.exe" [MS]"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]"MessengerPlus3" = ""C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart" ["Patchou"]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"Apoint" = "C:\Program Files\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]"Cpqset" = "C:\Program Files\HPQ\Default Settings\cpqset.exe" [null data]"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [null data]"CamMonitor" = "C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe" [empty string]"eabconfg.cpl" = "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start" ["Hewlett-Packard "]"RoxioEngineUtility" = ""C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"" ["Roxio"]"RoxioDragToDisc" = ""C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"" ["Roxio"]"HPHUPD05" = "C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" ["Hewlett-Packard"]"HP Software Update" = ""C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"" [null data]"HPHmon05" = "C:\WINDOWS\System32\hphmon05.exe" ["Hewlett-Packard"]"WooCnxMon" = "C:\PROGRA~1\Wanadoo\CnxMon.exe" [empty string]"WOOWATCH" = "C:\PROGRA~1\Wanadoo\Watch.exe" ["France Télécom R&D"]"WOOTASKBARICON" = "C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [null data]"SpeedTouch USB Diagnostics" = ""C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon" ["THOMSON Telecom Belgium"]"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]"MessengerPlus3" = ""C:\Program Files\MessengerPlus! 3\MsgPlus.exe"" ["Patchou"]"gcasServ" = ""C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"" [MS]"jbmyu.exe" = "C:\windows\System32\jbmyu.exe" [null data]HKLM\Software\Microsoft\Active Setup\Installed Components\{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)                                       \StubPath   = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{5E44E225-A408-11CF-B581-008029601108}" = "Roxio DragToDisc Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\shellex.dll" ["Roxio"]"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"  -> {CLSID}\InProcServer32\(Default) = "C:\windows\System32\Audiodev.dll" [MS]"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"  -> {CLSID}\InProcServer32\(Default) = "C:\windows\System32\Audiodev.dll" [MS]"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"System" = (value not set)HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]HKLM\Software\Classes\PROTOCOLS\Filter\INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]The Cleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\THECLE~1\TCSHELLEX.DLL" [null data]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]The Cleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\THECLE~1\TCSHELLEX.DLL" [null data]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]The Cleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\THECLE~1\TCSHELLEX.DLL" [null data]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]Indécrottable ces trucs...Merci encore

Utilisateur anonyme · Answer

SalutJ espere que t en a pas marre lolMoi j adore lolTélécharge aussi DLLcompare ici: http://www.downloads.subratam.org/DllCompare.exe lance le et clique sur "Run locate.com" Quand "completed the scan, click compare to continue" apparaît en bleu, clique sur le bouton COMPARE en bas à droite Une fois le scan terminé clique sur "make a log of what was found" Fait un copier coller du log sur le forum

big_novice · Answer

allez voila le log :*    DLLCompare Log version(1.0.0.127)Files Found that Windows does not See or cannot Access*Not everything listed here means you are infected!________________________________________________O^E says: "There were no files found :)"________________________________________________1 167 items found:  1 167 files, 0 directories.Total of file sizes:  238 103 721 bytes    227,07 MAdministrator Account =  True--------------------End log---------------------Dit moi que c est la fin...

Qc001 · Answer

Salut big_novice, salut Regis ;-)Quelle horreur ce Wareout...Je voulais simplement apporter un petit détail au sujet de FixWareout, qui a été remanié le 15. Si jamais tu as téléchargé l'outil avant le 15 de ce mois-ci (ce qui m'étonnerait, lol..), ben supprime-le et télécharge la nouvelle version (du lien fourni par Regis). Voici ce que LonnyRJones prescrit comme manip maintenant :- Lance-le, et assure-toi que "Run fixit" est coché.- Clique "Finish" et suis les directives à l'écran.- L'outil te demandera de redémarrer : fais le.- Le rapport texte s'affichera après le redémarrage : poste-le ici, avec un nouveau rapport HijackThis!=============================BlackLight (de F-Secure) peut être utilisé pour identifier les processus cachés par WareOut également...Bonne continuation :-)

Utilisateur anonyme · Answer

salut big novicesuis le conseil de Qc001. Merci je n ai pas eu cette info encore...a+

Calimero · Answer

Bonjour,J'ai  le même problème de bar importune. Avec HijckThis, j'obtiens le fichier de log ci-dessous. Pourriez-vous m'indiquer quels sont les lignes à fixer et les opérations à effectuer ?Comment choisit-on les lignes à fixer ?Merci pour votre aide.Logfile of HijackThis v1.99.1Scan saved at 12:22:37, on 02/07/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXEC:\Program Files\F-Secure\Anti-Virus\fsgk32st.exeC:\Program Files\F-Secure\Anti-Virus\FSGK32.EXEC:\Program Files\F-Secure\Anti-Virus\fssm32.exeC:\Program Files\F-Secure\Common\FSMA32.EXEC:\Program Files\F-Secure\Common\FSMB32.EXEC:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exeC:\Program Files\F-Secure\Common\FCH32.EXEC:\Program Files\F-Secure\Common\FNRB32.EXEC:\Program Files\F-Secure\Common\FAMEH32.EXEC:\Program Files\F-Secure\Common\FIH32.EXEC:\Program Files\F-Secure\Anti-Virus\fsav32.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\pctspk.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\F-Secure\Common\FSM32.EXEC:\Program Files\ahead\InCD\InCD.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeC:\WINDOWS\system32\NOTEPAD.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Watch.exeC:\Documents and Settings\Calimero\Mes documents\INSTALLATION Windows XP\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLR3 - URLSearchHook: (no name) - {509AB142-07ED-81ED-6D20-2AF0DA7FF7A2} - jopplerg.dll (file missing)O1 - Hosts: localhost 127.0.0.1O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\udayt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\udayt.dllO4 - HKLM\..\Run: [PCTVOICE] pctspk.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splashO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [sysmon12] SysEntry.exeO4 - HKLM\..\Run: [mozilla-text] MNTP.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"O4 - HKCU\..\Run: [br0ken] newbreed.exeO4 - HKCU\..\Run: [msag] ftbar.exeO4 - HKCU\..\Run: [bnui] 321102.exeO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/310dfc876fd887afec20/netzip/RdxIE601_fr.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{90B46F5F-AD81-488E-8355-5E917C74D026}: NameServer = 80.10.246.5 80.10.246.136O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXEO23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exeO23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exeO23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXEO23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXEO23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

Regis59 · Answer

SalutTélécharge fixwareout sur ton bureau : http://downloads.subratam.org/Fixwareout.exe Exécute-le et suis les invitations, à la fin, tu devras redémarrer. a+

Calimero · Answer

Merci pour votre réponse rapide. Après avoir installé et exécuté fixwareout, la barre a disparu. L'exécutable C:\WINDOWS\SYSTEM32\CSCDN.EXE a été supprimé par F-Secure.Y a-t-il d'autres actions à entreprendre ?En tous les cas, merci beaucoup pour votre aide appréciable.Fixwareout ver 1.003Last edited 07/1/2006Post this report in the forums please  Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\xedocneHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuinsepiwohHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\23plhpsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\mgcpppHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins	esvafHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\32refaselifHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\qahmdHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocneHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogolHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\UrlsepiwohHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhpsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcpppHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls	esvafHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif...Microsoft (R) Windows Script Host Version 5.6Random Runs removed from HKLM "dmhaq.exe"=-... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.Example ipsec6.exe is legitimate »»»»» Search by size and names...  »»»»» Misc files * thequicklink  C:\WINDOWS\System32\UDAYT.DLL »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb filesThis WILL/CAN also list Legit Files, Submit them at VirustotalC:\WINDOWS\SYSTEM32\CSCDN.EXE       51 211 2006-04-21       Other suspectsDirectory of C:\WINDOWS\system32

Regis59 · Answer

Salutremet un Hijack this stpa+

Calimero · Answer

Logfile of HijackThis v1.99.1Scan saved at 20:38:34, on 04/07/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXEC:\Program Files\F-Secure\Anti-Virus\fsgk32st.exeC:\Program Files\F-Secure\Anti-Virus\FSGK32.EXEC:\Program Files\F-Secure\Common\FSMA32.EXEC:\Program Files\F-Secure\Anti-Virus\fssm32.exeC:\Program Files\F-Secure\Common\FSMB32.EXEC:\Program Files\F-Secure\Common\FCH32.EXEC:\Program Files\F-Secure\Common\FNRB32.EXEC:\Program Files\F-Secure\Common\FAMEH32.EXEC:\Program Files\F-Secure\Common\FIH32.EXEC:\Program Files\F-Secure\Anti-Virus\fsav32.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\pctspk.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\F-Secure\Common\FSM32.EXEC:\Program Files\ahead\InCD\InCD.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Watch.exeC:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exeC:\Documents and Settings\Calimero\Mes documents\INSTALLATION Windows XP\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLR3 - URLSearchHook: (no name) - {509AB142-07ED-81ED-6D20-2AF0DA7FF7A2} - jopplerg.dll (file missing)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [PCTVOICE] pctspk.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splashO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [sysmon12] SysEntry.exeO4 - HKLM\..\Run: [mozilla-text] MNTP.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [br0ken] newbreed.exeO4 - HKCU\..\Run: [msag] ftbar.exeO4 - HKCU\..\Run: [bnui] 321102.exeO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/310dfc876fd887afec20/netzip/RdxIE601_fr.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{90B46F5F-AD81-488E-8355-5E917C74D026}: NameServer = 80.10.246.5 80.10.246.136O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXEO23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exeO23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exeO23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXEO23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXEO23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

Regis59 · Answer

SalutTelecharge et scan ton pc avec ceci, donne moi le rapport a la finEwido:http://perso.orange.fr/entraide-hijackthis/Ewido/ A+

Cheval de Troie pénible....

44 réponses

Discussions similaires