Hijack... qqun sait-il décrypter ça? merciii
Résolu/Fermé
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
-
27 mai 2007 à 17:19
pbvirus Messages postés 39 Date d'inscription samedi 26 mai 2007 Statut Membre Dernière intervention 2 juillet 2007 - 10 juin 2007 à 13:15
pbvirus Messages postés 39 Date d'inscription samedi 26 mai 2007 Statut Membre Dernière intervention 2 juillet 2007 - 10 juin 2007 à 13:15
A voir également:
- Hijack... qqun sait-il décrypter ça? merciii
- Dvd decrypter en français - Télécharger - Copie & Extraction
- Comment décrypter les chaînes cryptées sur eutelsat 16a ✓ - Forum Programmation
- Logiciel pour décrypter un fichier crypté - Télécharger - Chiffrement
- Comment savoir si qqun nous a bloqué sur messenger - Guide
- Comment décrypter une carte sd sur un autre téléphone - Forum Samsung
58 réponses
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
1 juin 2007 à 12:15
1 juin 2007 à 12:15
oui, il est propre, tu peux supprimer clean et passer à panda
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
1 juin 2007 à 13:23
1 juin 2007 à 13:23
panda :
Incident Statut Analyse
Outil indésirable:application/need2find No Désinfecté hkey_current_user\software\Need2Find
Outil indésirable:application/altnet No Désinfecté hkey_classes_root\clsid\{B7156514-A76C-4545-9D5B-A4E1D02C7AEC}
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Ariane\Bureau\CLEAN\CLEAN\PSKILL.EXE
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Ariane\Bureau\papyantivirus\CLEAN.ZIP[clean/pskill.exe]
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Ariane\Bureau\papyantivirus\CLEAN\CLEAN\PSKILL.EXE
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Ariane\Cookies\ariane@doubleclick[1].txt
Incident Statut Analyse
Outil indésirable:application/need2find No Désinfecté hkey_current_user\software\Need2Find
Outil indésirable:application/altnet No Désinfecté hkey_classes_root\clsid\{B7156514-A76C-4545-9D5B-A4E1D02C7AEC}
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Ariane\Bureau\CLEAN\CLEAN\PSKILL.EXE
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Ariane\Bureau\papyantivirus\CLEAN.ZIP[clean/pskill.exe]
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Ariane\Bureau\papyantivirus\CLEAN\CLEAN\PSKILL.EXE
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Ariane\Cookies\ariane@doubleclick[1].txt
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
1 juin 2007 à 13:58
1 juin 2007 à 13:58
je fais le reste la semaine prochaine, il faut que je file !!
bonne semaine a toi, papy !
bonne semaine a toi, papy !
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
1 juin 2007 à 15:48
1 juin 2007 à 15:48
on est presque au bout!!
je te donne tout de même la manip et j'attends le résultat quand tu reviens
recherche et supprime ces dossiers en gras
C:\Documents and Settings\Ariane\Bureau\CLEAN
C:\Documents and Settings\Ariane\Bureau\papyantivirus\CLEAN.ZIP
lance hijack pour un scan et coche les lignes suivantes si tu les trouves
O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - https://about.proquest.com/products-services/ebooks/ebooks-main.html
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2045fc13650ded50fe05/netzip/RdxIE601_fr.cab
ferme toutes tes fenêtres et clic sur fixer l'objet
sais tu naviguer dans le registre?
je te donne tout de même la manip et j'attends le résultat quand tu reviens
recherche et supprime ces dossiers en gras
C:\Documents and Settings\Ariane\Bureau\CLEAN
C:\Documents and Settings\Ariane\Bureau\papyantivirus\CLEAN.ZIP
lance hijack pour un scan et coche les lignes suivantes si tu les trouves
O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - https://about.proquest.com/products-services/ebooks/ebooks-main.html
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2045fc13650ded50fe05/netzip/RdxIE601_fr.cab
ferme toutes tes fenêtres et clic sur fixer l'objet
sais tu naviguer dans le registre?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
8 juin 2007 à 13:34
8 juin 2007 à 13:34
hello papy
de retour au bercail.
je crois que je sais un petit peu naviguer dans le registre, si je suis un peu guidée...
je lance hijack
de retour au bercail.
je crois que je sais un petit peu naviguer dans le registre, si je suis un peu guidée...
je lance hijack
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
8 juin 2007 à 13:53
8 juin 2007 à 13:53
dans ce cas c'est plus facile
démarrer exécuter regedit
une fois dans le registre tu le sauvegardes comme ceci
fichier / exporter tu lui donnes un nom que tu reconnaitras sans peine
tu effectues une recherche sur chacune de ces clés
hkey_current_user\software\Need2Find <==celle ci tu la supprimes sans remords
hkey_classes_root\clsid\{B7156514-A76C-4545-9D5B-A4E1D02C7AEC}<==fais attention, cela doit être exactement la même et tu la supprimes également
ensuite tu refais un scan Panda pour contrôle
démarrer exécuter regedit
une fois dans le registre tu le sauvegardes comme ceci
fichier / exporter tu lui donnes un nom que tu reconnaitras sans peine
tu effectues une recherche sur chacune de ces clés
hkey_current_user\software\Need2Find <==celle ci tu la supprimes sans remords
hkey_classes_root\clsid\{B7156514-A76C-4545-9D5B-A4E1D02C7AEC}<==fais attention, cela doit être exactement la même et tu la supprimes également
ensuite tu refais un scan Panda pour contrôle
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
8 juin 2007 à 14:19
8 juin 2007 à 14:19
j'ai supprimé les trucs dans hijack
je tente regedit
je tente regedit
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
8 juin 2007 à 20:51
8 juin 2007 à 20:51
Voici le pandascan :
Incident Statut Analyse
Outil indésirable:application/altnet No Désinfecté hkey_local_machine\software\classes\appid\adm.EXE
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Ariane\Cookies\ariane@doubleclick[1].txt
Mon disque dur a l'air fatigué... Il a planté pdt le premier scan : 2 heures de vérification de disque... C'est bizarre d'ailleurs, il fait deux vérif de disques successives ces derniers temps ?!?
Est-ce que le panda est bon ???
merciiiiiiiiiiiii papy
Incident Statut Analyse
Outil indésirable:application/altnet No Désinfecté hkey_local_machine\software\classes\appid\adm.EXE
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Ariane\Cookies\ariane@doubleclick[1].txt
Mon disque dur a l'air fatigué... Il a planté pdt le premier scan : 2 heures de vérification de disque... C'est bizarre d'ailleurs, il fait deux vérif de disques successives ces derniers temps ?!?
Est-ce que le panda est bon ???
merciiiiiiiiiiiii papy
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
8 juin 2007 à 21:10
8 juin 2007 à 21:10
il reste encore une bricole
fait ceci
Télécharge Registry Search.vbs
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
* Dézippe le sur le bureau et double-clique sur RegSearch.vbs
copie colle le nom "altnet "dans la zone de recherche et clique sur OK
Après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées.
Le fichier est sauvegardé dans le même répertoire que celui de RegSearch
* Copie-colle le contenu de la fenêtre pour le mettre dans ton prochain post.
fait ceci
Télécharge Registry Search.vbs
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
* Dézippe le sur le bureau et double-clique sur RegSearch.vbs
copie colle le nom "altnet "dans la zone de recherche et clique sur OK
Après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées.
Le fichier est sauvegardé dans le même répertoire que celui de RegSearch
* Copie-colle le contenu de la fenêtre pour le mettre dans ton prochain post.
J'ai un ptit problem avec un virus et voici le log de hijackthis alors si kk1 pourait m'aider sa serait aprécier merci
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:01:12, on 2007-06-08
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\KB_963493.exe
C:\WINDOWS\System32\KB50712874.exe
C:\WINDOWS\System32\zxprot32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Marie-Josée\Local Settings\Temporary Internet Files\Content.IE5\SJ5F6MRP\HiJackThis_v2[1].exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\KB12931930.exe
C:\Documents and Settings\Marie-Josée\Bureau\yann\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file)
O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)
O2 - BHO: (no name) - {077aa192-2676-4dd6-96EC-045F4764aaa5} - C:\WINDOWS\System32\52FXFcXR.dll
O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)
O2 - BHO: (no name) - {1496FFAC-00DB-4393-A478-7B46EC659CDC} - C:\WINDOWS\System32\gebcbcy.dll
O2 - BHO: msdn_lib.msdn_hlp - {250DF265-7441-4C9B-A2CA-8007D8CB5B5D} - C:\WINDOWS\System32\msdn_lib.dll (file missing)
O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)
O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)
O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)
O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)
O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)
O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: (no name) - {C6FEDC30-8F39-49B8-B78A-CF3AB50CB1E8} - C:\WINDOWS\System32\cbxxy.dll
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\System32\gkyhkiam.dll
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)
O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RunOnce2Upd] "C:\WINDOWS\System32\KB_963493.exe"
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\System32\mncyefdp.dll",realset
O4 - HKLM\..\Run: [KB50712874.exe] C:\WINDOWS\System32\KB50712874.exe
O4 - HKLM\..\Run: [ProtEX2.0] C:\WINDOWS\System32\zxprot32.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://jotropicalfantaisia.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E460DB1-33D0-4531-BA81-0A41EDF5376B}: NameServer = 85.255.116.122,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{31AE7AA3-6BF0-4FAB-B667-11DBF415AD2A}: NameServer = 85.255.116.122,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{4593E0C8-95CF-4CA6-BFAE-A508814CD135}: NameServer = 85.255.116.122 85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E460DB1-33D0-4531-BA81-0A41EDF5376B}: NameServer = 85.255.116.122,85.255.112.79
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E460DB1-33D0-4531-BA81-0A41EDF5376B}: NameServer = 85.255.116.122,85.255.112.79
O20 - Winlogon Notify: cbxxy - C:\WINDOWS\System32\cbxxy.dll
O20 - Winlogon Notify: gebcbcy - C:\WINDOWS\SYSTEM32\gebcbcy.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:01:12, on 2007-06-08
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\KB_963493.exe
C:\WINDOWS\System32\KB50712874.exe
C:\WINDOWS\System32\zxprot32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Marie-Josée\Local Settings\Temporary Internet Files\Content.IE5\SJ5F6MRP\HiJackThis_v2[1].exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\KB12931930.exe
C:\Documents and Settings\Marie-Josée\Bureau\yann\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file)
O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)
O2 - BHO: (no name) - {077aa192-2676-4dd6-96EC-045F4764aaa5} - C:\WINDOWS\System32\52FXFcXR.dll
O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)
O2 - BHO: (no name) - {1496FFAC-00DB-4393-A478-7B46EC659CDC} - C:\WINDOWS\System32\gebcbcy.dll
O2 - BHO: msdn_lib.msdn_hlp - {250DF265-7441-4C9B-A2CA-8007D8CB5B5D} - C:\WINDOWS\System32\msdn_lib.dll (file missing)
O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)
O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)
O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)
O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)
O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)
O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: (no name) - {C6FEDC30-8F39-49B8-B78A-CF3AB50CB1E8} - C:\WINDOWS\System32\cbxxy.dll
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\System32\gkyhkiam.dll
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)
O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RunOnce2Upd] "C:\WINDOWS\System32\KB_963493.exe"
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\System32\mncyefdp.dll",realset
O4 - HKLM\..\Run: [KB50712874.exe] C:\WINDOWS\System32\KB50712874.exe
O4 - HKLM\..\Run: [ProtEX2.0] C:\WINDOWS\System32\zxprot32.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://jotropicalfantaisia.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E460DB1-33D0-4531-BA81-0A41EDF5376B}: NameServer = 85.255.116.122,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{31AE7AA3-6BF0-4FAB-B667-11DBF415AD2A}: NameServer = 85.255.116.122,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{4593E0C8-95CF-4CA6-BFAE-A508814CD135}: NameServer = 85.255.116.122 85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E460DB1-33D0-4531-BA81-0A41EDF5376B}: NameServer = 85.255.116.122,85.255.112.79
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E460DB1-33D0-4531-BA81-0A41EDF5376B}: NameServer = 85.255.116.122,85.255.112.79
O20 - Winlogon Notify: cbxxy - C:\WINDOWS\System32\cbxxy.dll
O20 - Winlogon Notify: gebcbcy - C:\WINDOWS\SYSTEM32\gebcbcy.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
8 juin 2007 à 21:20
8 juin 2007 à 21:20
crée ton propre topic, on t'y aidera tu es infecté!
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
8 juin 2007 à 23:41
8 juin 2007 à 23:41
Voici !!!
Je supprime les fichiers dans regedit + la copie du registre que j'ai enregistrée ?
merci !
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "altnet" 08/06/2007 22:48:23
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AltnetDM]
Je supprime les fichiers dans regedit + la copie du registre que j'ai enregistrée ?
merci !
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "altnet" 08/06/2007 22:48:23
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AltnetDM]
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
9 juin 2007 à 09:46
9 juin 2007 à 09:46
oui et tu refais un scan en ligne qui devrait être négatif cette fois ci!!
la sauvegarde du registre tu la supprimeras dans quelques jours si tu ne constates aucun souci, ce qui devrait être le cas!!!
la sauvegarde du registre tu la supprimeras dans quelques jours si tu ne constates aucun souci, ce qui devrait être le cas!!!
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
9 juin 2007 à 12:19
9 juin 2007 à 12:19
C'est chouette ! Presque fini !!
panda m'indique encore altnet : Outil indésirable:application/altnet
j'essaie de retourner dans le registre
panda m'indique encore altnet : Outil indésirable:application/altnet
j'essaie de retourner dans le registre
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
9 juin 2007 à 15:08
9 juin 2007 à 15:08
fais une recherche dans le registre en faisant
regedit/edition /rechercher/ tu écris altnet
et chaque fois qu'il te sort une clé avec ce nom, tu la supprimes, puis tu fais F3 et il t'amène vers une autre entrée avec ce nom
comment va le PC? plus de pub?
mais si tu ne trouves rien et c'est possible, ce n'est pas grave car parfois panda trouve une trace et indique infecté, ce n'est "grave" que quand il donne la clé car là il faut supprimer...
regedit/edition /rechercher/ tu écris altnet
et chaque fois qu'il te sort une clé avec ce nom, tu la supprimes, puis tu fais F3 et il t'amène vers une autre entrée avec ce nom
comment va le PC? plus de pub?
mais si tu ne trouves rien et c'est possible, ce n'est pas grave car parfois panda trouve une trace et indique infecté, ce n'est "grave" que quand il donne la clé car là il faut supprimer...
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
10 juin 2007 à 01:21
10 juin 2007 à 01:21
ben en fait, je n'avais pas de pub, parce que je bosse avec mozilla...
mais mon ordi va bcp mieux, ça c'est sûr !!!!
il continue à faire un bruit de tondeuse à gazon, mais tant que ça roule, tout va bien !! Je suis bien soulagée !!
merci beaucoup !!! Vraiment !!!!
pour regedit, il ne trouve pas altnet.... donc je le laisse tranquille !
je vais essayer d'installer thotkey pour qu'il n'y ait plus de message d'erreur au démarrage !!!
C'est vraiment sympa de ta part, papyber !!
mais mon ordi va bcp mieux, ça c'est sûr !!!!
il continue à faire un bruit de tondeuse à gazon, mais tant que ça roule, tout va bien !! Je suis bien soulagée !!
merci beaucoup !!! Vraiment !!!!
pour regedit, il ne trouve pas altnet.... donc je le laisse tranquille !
je vais essayer d'installer thotkey pour qu'il n'y ait plus de message d'erreur au démarrage !!!
C'est vraiment sympa de ta part, papyber !!
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
10 juin 2007 à 10:44
10 juin 2007 à 10:44
pour le bruit de tondeuse, ce sont tes ventilos qui sont sales, pleins de poussière!!
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
10 juin 2007 à 12:23
10 juin 2007 à 12:23
ah ! et je peux ouvrir le portable et passer un coup d'apirateur ou c'est trop dangereux pour l'ordi ? A l'époque où l'ordi était sous garantie, ils sont changé deux fois le ventilo déjà !
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
10 juin 2007 à 12:30
10 juin 2007 à 12:30
une tour oui, un portable je n'ose pas te le recommander...
pbvirus
Messages postés
39
Date d'inscription
samedi 26 mai 2007
Statut
Membre
Dernière intervention
2 juillet 2007
10 juin 2007 à 13:15
10 juin 2007 à 13:15
ah bon... dommage !
merci en tous les cas !
merci en tous les cas !