Antivirus + firewall désactivé WiFi activé..

AIMEDIEU Messages postés 10 Date d'inscription   Statut Membre Dernière intervention   -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour et merci à qui saura répondre à ceci (en tenant compte du fait que je suis évidemment allé voir, SANS SUCCES, ce qui s’était écrit aux ici et aux bonnes adresses (Assiste.com, etc).

Avant hier soir je me suis endormi en laissant ma machine tourner afin que AVG puisse finir son scan quotidien. Le lendemain matin je l’ai retrouvée (comme chaque année vers la même époque) AVG et ZoneAlarme désactivée. AVG refusant de se réactivé j’ai du le désinstaller et le réinstaller complètement. Depuis il tourne mais se désactive au bout de quelques heures. Quant à ZoneAlarme je peux double cliquer autant que je veux sur le programme d’installation… RIEN NE SE PASSE ! (alors que le MEME fichier s’ouvre sans problème sur une autre machine).

Autre truc qui sent franchement pas bon, dont je viens de me rendre compte : j’ai beau « éteindre » (via logiciel et pas physiquement, car ça je ne peux le faire qu’en débranchant ma freebox) ma connection WiFi, elle se rétablit toute seule après quelques minutes !!!

Bien entendu comme les autres années, Ad-Aware, Spybot, AVG… tous évidemment remis à jour quotidiennement ne trouvent RIEN ! Pas plus que tous les anti...tout (l'année dernière, après avoir essayé TOUS les antivirus disponibles, c'est finalement Antivir qui semblait avoir été la porte d'entrée qui a finalement été le seul à identifier et éradiqué le machin qui pourrissait ma machine et ma vie par voie de conséquence !

Spybot a bien trouvé un truc mais l’a éradiqué sans que rien ne change. Ad-Aware détecte toujours les mêmes saletés* qui reviennent constamment, mais n’ont rien de nouveau et les supprimer ne change rien à l’affaire.

Pour info : ma machine souffre d’autres bizarreries mais c’est très antérieures aux problèmes actuels (des mois et des mois) telles que :
. lorsque je tombe sur des liens rompus je me retrouve sur une http://www.connection-internet.com/08.404nfound/index2.php?n=fr (N’Y ALLEZ SURTOUT PAS) car c’est sûrement un truc piégé.

. Où que j'aille j'ai aussi des tas de mots au sein de texte des pages consultés qui se soulignent et renvoi vers des site de jeux, de cul, et autres pièges à cons.
. depuis des années je travaille avec un filet percé parce que je suis dans l’incapacité de faire un format C quand j’ai des problèmes de ce genre en raison de tout un paquet de données dont les SAUVEGARDES SONT IMPOSSIPLES, ou qui se font en paumant le moitié des données. Problème soit dit en passant auquel même les ingénieurs d’AC, pourtant experts en la matière, n’ont jamais trouvé ni solution ni explication (à croire qu’ils ne lisent pas Pirate, Virus et autres revues des éditions ACBM (acbm.com : pub. désintéressée), qui expliquent – partiellement – la cause par des ruses d’anti-copie de pages web par leurs auteurs qui tout en autorisant l’enregistrement en bloquent la sauvegarde ultérieure – aller comprendre ! -).

* telles que…

administrateur@iv2.bluestreak.com
administrateur@www.smartadserver.com
administrateur@adtech
administrateur@adtech.de
administrateur@as1.falkag.de
administrateur@bluestreak.com
administrateur@tradedoubler.com
administrateur@weborama.fr
administrateur@real.com
administrateur@questionmarket
administrateur@questionmarket.com
administrateur@estat.com
administrateur@247realmedia.com
administrateur@perf.overture
administrateur@perf.overture.com
administrateur@fl01.ct2.comclick.com

Si quelqu'un parmi vous (un pro version gros-balèze parce que jusqu’à présent tous ceux que j’ai consultés – et payés plusieurs fois – n’ont fait que de la gesticulation ou du rappel des conseils que j’applique depuis des années) a une VRAIE solution*… à son bon cœur ! (je ne demande pas la charité, j’accepte de payer APRES solution prouvée pcq. ras le pompon de casquer pour rien).

* Pas du genre refuse les cookies ou désactive les javatruc et activexmachin. Aujourd'hui autant utiliser sa machine comme chaufferette, ou en tout cas jamais pour aller sur le Web (essayer Boursorama dans ces conditions !!! - déjà que sans rien désactiver si je bouge le curseur sur un graphe Java, il… s'efface ! -). Ni du genre machine sûrement vachement bien mais pour laquelle le fournisseur ne jacte et ne contracte qu’en anglais technique auquel je comprend encore moins que l’anglais courant).

Si quelqu’un parmi vous sait interpréter les hijackthis.log SANS et veut bien m’épargner d’avoir à consacrer des centaines d'heures dans de pénibles recherche sur Google pour chaque fichier qui pose question à l'ignorant que je suis… à son bon cœur !

En guise de PS : bien entendu si j’obtiens une ou des réponses qui résolvent le problème je m’engage à créer un post aussi synthétique et facile à trouver que possible sur le sujet afin d’épargner à d’autres (notamment ceux pour qui, comme moi, un ordinateur n’est pas un jouet mais un outil de travail utilisé 12 heures par jour) les galères sans nom que je me tape depuis des années.

Meilleures salutations avec mille remerciements anticipés à qui saura…

Logfile of HijackThis v1.99.1
Scan saved at 19:45:45, on 16/07/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\TpKmpSVC.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\AGRSMMSG.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\WINNT\system32\tp4serv.exe
C:\WINNT\LTSMMSG.exe
C:\WINNT\system32\AEIWLSTA.EXE
C:\WINNT\system32\RunDll32.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\WINNT\system32\PRPCUI.exe
C:\IBMTOOLS\DRIVERS\CONWIZ\QCTRAY.EXE
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\explorer.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\System32\cidaemon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe
C:\Documents and Settings\Administrateur\Bureau\T23 post 060218\A dispatcher\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = moi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINNT\system32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [AEIWLSTA.EXE] AEIWLSTA.EXE START
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [ACTray] C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QCTray] C:\IBMTOOLS\DRIVERS\CONWIZ\QCTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CARNET.PIF = C:\carnet.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Mise à jour de logiciels ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\ThinkPad\PkgMgr\PkgMgr.exe
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/installer-hidden-test.cab
O16 - DPF: {02478D28-C3F9-4EFB-9B51-7695ECA05670} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {04088E63-C743-42E0-9445-347A1E7AE311} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {38481807-CA0E-42D2-BF39-B33AF135CC4D} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_sit...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://support.lenovo.com/fr/en/
O16 - DPF: {76E5AF9D-2B3E-4FEB-A31F-A9E63A27FA29} (IASRunner Class) - https://www.ibm.com/pc/support/access/aslibmain/content/AcpIR.cab
O16 - DPF: {A5DC33CE-214B-4C26-8596-8A45456C9EB8} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {C9712B19-838B-45A5-ABF2-9A315DDDED50} - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} (RealPlayer G2 Control) - http://activex.microsoft.com/objects/ocget.dll
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
O16 - DPF: {E598AC61-4C6F-4F4D-877F-FAC49CA91FA3} (acpRunner Class) - https://support.lenovo.com/fr/en/
O16 - DPF: {FDC7A535-4070-4B92-A0EA-D9994BCC0DC5} (IERPCtl Class) - http://activex.microsoft.com/objects/ocget.dll
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: tpfnf2 - C:\WINNT\SYSTEM32\notifyf2.dll
O20 - Winlogon Notify: tphotkey - C:\WINNT\SYSTEM32\tphklock.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Unknown owner - C:\WINNT\system32\Weather.exe (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINNT\system32\TpKmpSVC.exe
A voir également:

3 réponses

Réponse 1 / 3
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

Enchanté de faire ta connaissance !
Voyons le soucis :-)
Deja, je fais ca bénévolemment et n atendrais rien en retour ;-)

Bref, d apres Hijack this tu es infecté, notamment par ceci:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453078820

Infection assez grave.

J'aimerais cependant verifier une chose, peux tu faire ceci, ensuite je te fournirais ce qu il faut pour supprimer cette infection:

Telecharge ceci
https://www.silentrunners.org/Silent%20Runners.vbs
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

A+
0
Réponse 2 / 3
AIMEDIEU Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour... déjà ! Vacances, galère, antivirus qui répare plus ou moins, regalère... résultat : pardon de ne pas avoir donné signe de vie depuis plus de six mois.

Et comme re-problèmes depuis quelques semaines... re-appel à l'aide.

D'abord question à propos... "tu es infecté, notamment par ceci:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453078820"
qui renvoi à une adresse qui semble tout ce qu'il y a d'authentiquement CA computer puisque lorsque je raccourcis l'url ça me met bien sur leur site.

N'empêche que je me suis empressé (à peine six mois :-)) de suivre la procédure que tu m'as indiqué (super ce silentrunners pour voir un peu plus clair dans les trucs qui démarrent à la sournoise !).


Résultats ici accompagné de mes remerciements anticipés.

"Silent Runners.vbs", revision 49, https://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Mobipocket Reader Notifications" = ""C:\Program Files\Mobipocket.com\Mobipocket Reader\readernotify.exe"" [null data]
""neobebackup.exe"" = "C:\Program Files\neobe Backup\neobebackup.exe -min" [file not found]
"updateMgr" = ""C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8" [file not found]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"FlashPlayerUpdate" = "C:\Program Files\Mozilla Firefox\plugins\GetFlash.exe -p" ["Macromedia, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"TPKMAPHELPER" = ""C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe" -helper" ["Lenovo"]
"EZEJMNAP" = "C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" ["Lenovo Group Limited"]
"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"TP4EX" = "tp4ex.exe" ["Lenovo Group Limited"]
"TrackPointSrv" = "tp4serv.exe" ["Lenovo Group Limited"]
"LTSMMSG" = "LTSMMSG.exe" ["Lucent Technologies"]
"(Default)" = "(empty string)" [file not found]
"BMMGAG" = "RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" [MS]
"ACTray" = "C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe" [null data]
"ACWLIcon" = "C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe" [null data]
"PRPCMonitor" = "PRPCUI.exe" ["Intel Corporation"]
"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Adobe Photo Downloader" = ""C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"SunJavaUpdateSched" = ""C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"CanalPlayer" = "C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic" [file not found]
"ExaleadDesktop" = ""C:\Program Files\Exalead\Exalead Desktop\ExaleadDesktop.exe" /startup" ["Exalead SA."]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Zone Labs Client" = ""C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"AVP" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Aide pour le lien d'Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{8e9d6600-f84a-11ce-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare Objects"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{e3f2bac0-099f-11cf-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare UNC Folder Menu"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{52c68510-09a0-11cf-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare Hood Verbs"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{E54B19BC-69B6-43B2-A1F2-15BBC1D72C93}" = "wodShellMenu"
-> {HKLM...CLSID} = "wodShellMenu"
\InProcServer32\(Default) = "C:\WINNT\system32\wodShellMenu.dll" ["WeOnlyDo! COM"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{A4D78B20-6E05-1069-8758-4E73FD83DEAD}" = "QCopy"
-> {HKLM...CLSID} = "QCopy"
\InProcServer32\(Default) = "dropcpyr.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {HKLM...CLSID} = "a² Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [file not found]
"{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Context Menu Shell Extension"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~2\A2FREE~1.DLL" [file not found]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{26F05DD3-6EDC-48C8-B2D6-8754AB9B0F8B}" = "AntiSpywarePopMenu Shell Extension"
-> {HKLM...CLSID} = "AntiSpywarePopMenu ContextMenu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\Defenza\ANTISP~1.DLL" [file not found]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Antivirus Internet"
-> {HKLM...CLSID} = "Antivirus Internet"
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{1DD7CBED-2F05-11D3-A521-00400514C916}" = "***>**A*******A*******A****" (unwritable string)
-> {HKLM...CLSID} = "ShowHook Class"
\InProcServer32\(Default) = "C:\CFGSAFE\CSHOOK.DLL" ["imagine LAN, Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> ACNotify\DLLName = "ACNotify.dll" [file not found]
<<!>> klogon\DLLName = "C:\WINNT\system32\klogon.dll" ["Kaspersky Lab"]
<<!>> nwprovau\DLLName = "nwprovau.dll" [MS]
<<!>> tpfnf2\DLLName = "notifyf2.dll" [null data]
<<!>> tphotkey\DLLName = "tphklock.dll" [null data]
<<!>> WRNotifier\DLLName = "WRLogonNTF.dll" [file not found]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiSpywarePopMenu\(Default) = "{26F05DD3-6EDC-48C8-B2D6-8754AB9B0F8B}"
-> {HKLM...CLSID} = "AntiSpywarePopMenu ContextMenu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\Defenza\ANTISP~1.DLL" [file not found]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\ShellEx.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
wodShellMenu\(Default) = "{E54B19BC-69B6-43B2-A1F2-15BBC1D72C93}"
-> {HKLM...CLSID} = "wodShellMenu"
\InProcServer32\(Default) = "C:\WINNT\system32\wodShellMenu.dll" ["WeOnlyDo! COM"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
wodShellMenu\(Default) = "{E54B19BC-69B6-43B2-A1F2-15BBC1D72C93}"
-> {HKLM...CLSID} = "wodShellMenu"
\InProcServer32\(Default) = "C:\WINNT\system32\wodShellMenu.dll" ["WeOnlyDo! COM"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {HKLM...CLSID} = "a² Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [file not found]
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~2\A2FREE~1.DLL" [file not found]
AntiSpywarePopMenu\(Default) = "{26F05DD3-6EDC-48C8-B2D6-8754AB9B0F8B}"
-> {HKLM...CLSID} = "AntiSpywarePopMenu ContextMenu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\Defenza\ANTISP~1.DLL" [file not found]
ContextDriveScanner\(Default) = "{B090E2C0-7264-4D49-AAA0-31E0891BF5EB}"
-> {HKLM...CLSID} = "ContextDriveScanner Class"
\InProcServer32\(Default) = "C:\Program Files\FBM Software\ZeroSpyware\ContextScanner.dll" [file not found]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\ShellEx.dll" ["Kaspersky Lab"]
NetWareUNCMenu\(Default) = "{e3f2bac0-099f-11cf-8daa-00aa004a5691}"
-> {HKLM...CLSID} = "NetWare UNC Folder Menu"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
wodShellMenu\(Default) = "{E54B19BC-69B6-43B2-A1F2-15BBC1D72C93}"
-> {HKLM...CLSID} = "wodShellMenu"
\InProcServer32\(Default) = "C:\WINNT\system32\wodShellMenu.dll" ["WeOnlyDo! COM"]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~2\A2FREE~1.DLL" [file not found]
wodShellMenu\(Default) = "{E54B19BC-69B6-43B2-A1F2-15BBC1D72C93}"
-> {HKLM...CLSID} = "wodShellMenu"
\InProcServer32\(Default) = "C:\WINNT\system32\wodShellMenu.dll" ["WeOnlyDo! COM"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"CDRAutoRun" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Disable registry editing tools}

HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\

"Homepage" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|Windows Components|Internet Explorer|
Disable changing home page settings}

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\

"NoBrowserOptions" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|Windows Components|Internet Explorer|Browser Menus|
Tools menu: Disable Internet Options... menu option}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"disablecad" = (REG_DWORD) hex:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Ma page d'accueil"
"Source" = "About:Home"
"SubscribedURL" = "About:Home"


Startup items in "Administrateur" & "All Users" startup folders:
----------------------------------------------------------------

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"WinZip Quick Pick" -> shortcut to: "C:\Program Files\WinZip\WZQKPICK.EXE" ["WinZip Computing LP"]
"Adobe Reader Synchronizer" -> shortcut to: "C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe" [null data]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"BMMTask" -> launches: "C:\PROGRA~1\ThinkPad\UTILIT~1\Bmmtask.exe" [null data]
"Image planifiée" -> launches: "C:\CFGSAFE\SCHWIZEX.EXE -SNAP" ["imagine LAN, Inc."]
"WinCleaner" -> launches: "C:\Program Files\Greatis\RegRunSuite\WinCleaner.exe cleaner.ini" [file not found]
"Calculatrice" -> launches: "C:\WINNT\System32\calc.exe" [MS]
"AppleSoftwareUpdate" -> launches: "C:\Program Files\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 04, 07 - 27
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Antivirus Internet"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]
0
Réponse 3 / 3
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

Pas toi qui a touché ici? 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{1DD7CBED-2F05-11D3-A521-00400514C916}" = "***>**A*******A*******A****" (unwritable string)


Et remet un HijackThis aussi.

A+
0

Discussions similaires

Enlever le pass. Telecomm. Active
Lisa -
Yves -

3 réponses
Message ne s'envoie pas données mobiles Redmi
Eric -
FalkenHarlais -

4 réponses