Encore une demande d'analyse d'un hijackthis
Fermé
toine
-
27 mai 2004 à 18:16
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 30 mai 2004 à 15:41
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 30 mai 2004 à 15:41
A voir également:
- Encore une demande d'analyse d'un hijackthis
- Analyse et reparation du lecteur c ✓ - Forum Windows 10
- Analyse performance pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Hijackthis windows 10 - Télécharger - Antivirus & Antimalwares
- Analyse composant pc - Guide
17 réponses
Salut
Je te conseille de zipper ce fichier bizarre dont certains ressemblent au virus netsky
C:\WINDOWS\System32\iofghqsr.exe
O4 - HKLM\..\Run: [twnujar] C:\WINDOWS\twnujar.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [klcxyt] C:\WINDOWS\klcxyt.exe
O4 - HKCU\..\Run: [Aoes] C:\Documents and Settings\Pierre.PC\Application Data\aaio.exe
et si tout fonctionne tu efface dans qqs jours
FIX de cette ligne
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
et si reviens fais recherche sur le forum, déjà traité et difficile à enlever
Je vois pas mal de spyware
http://www.spywareguide.com/product_show.php?id=724
donc tu relances HijackThis et FIX de ces lignes
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
Donc en gros tu es bien: virus, spy, adaware, bref la totale alors
ce n'est sans doute pas complet , tu dois aussi charger CWSherdder et le lancer ttes fenêtres fermées (FIX puis Next Next)
et faire des scan ici aussi
http://www.pestscan.com/ScanOrTrial.asp
A+
Je te conseille de zipper ce fichier bizarre dont certains ressemblent au virus netsky
C:\WINDOWS\System32\iofghqsr.exe
O4 - HKLM\..\Run: [twnujar] C:\WINDOWS\twnujar.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [klcxyt] C:\WINDOWS\klcxyt.exe
O4 - HKCU\..\Run: [Aoes] C:\Documents and Settings\Pierre.PC\Application Data\aaio.exe
et si tout fonctionne tu efface dans qqs jours
FIX de cette ligne
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
et si reviens fais recherche sur le forum, déjà traité et difficile à enlever
Je vois pas mal de spyware
http://www.spywareguide.com/product_show.php?id=724
donc tu relances HijackThis et FIX de ces lignes
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
Donc en gros tu es bien: virus, spy, adaware, bref la totale alors
ce n'est sans doute pas complet , tu dois aussi charger CWSherdder et le lancer ttes fenêtres fermées (FIX puis Next Next)
et faire des scan ici aussi
http://www.pestscan.com/ScanOrTrial.asp
A+
C'est vraiment super sympa d'avoir répondu à mon pb, j'ai fait ce que tu avais dit maiss les fix des lignes
"R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php ..."
ne marche pas à chaque fois elles reviennent, mais j'ai l'impression que l'ordi tourne déjà un peu mieux, en tout cas encore merci d'avoir pris le temps de répondre et tout ça bénévolement , MERCI !!!
"R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php ..."
ne marche pas à chaque fois elles reviennent, mais j'ai l'impression que l'ordi tourne déjà un peu mieux, en tout cas encore merci d'avoir pris le temps de répondre et tout ça bénévolement , MERCI !!!
Salut
C'est le site Greatsearch.biz qui cause problème et pour le moment sanuf erreur pas encore de solution sauf sur un post où j'ai lu que la solution passait par désinstaller norton pour passer à kaspery, mais bon?? patience on trouvera;
A+
C'est le site Greatsearch.biz qui cause problème et pour le moment sanuf erreur pas encore de solution sauf sur un post où j'ai lu que la solution passait par désinstaller norton pour passer à kaspery, mais bon?? patience on trouvera;
A+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
28 mai 2004 à 00:10
28 mai 2004 à 00:10
salut bernie cette bho n est pas donner comme mauvaise ou je me trompe
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
quand a toi toine
passe ceci si tu est sur xp ou 2000
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser
ftp://www.renonce.com/pub/renonce/Rimouveur.exe
Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus
Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc
action numero 4
un petit http://www.ravantivirus.com/scan/ si le Rimouveur ne trouve pas le virus :o)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
quand a toi toine
passe ceci si tu est sur xp ou 2000
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser
ftp://www.renonce.com/pub/renonce/Rimouveur.exe
Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus
Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc
action numero 4
un petit http://www.ravantivirus.com/scan/ si le Rimouveur ne trouve pas le virus :o)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voilà, j'ai fait ce que tu m'avais conseillé, voilà le fichier resulata.txt
Taches effectués sur le PC :
Elément(s) supprimé(s) :
Fichier C:\WINDOWS\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)
Fichier C:\WINDOWS\preinstt.exe supprimé (Virus Trojan.BiSpy)
Fichier C:\WINDOWS\twaintec.dll supprimé (Virus Trojan.BiSpy)
Fichier C:\WINDOWS\System32\cax.dll supprimé (Virus Inconnu)
Fichiers C:\WINDOWS\Downloaded Program Files\*.exe (Virus Dialers) :
C:\WINDOWS\Downloaded Program Files\load.exe
Fichier(s) avec demande de suppression manuelle :
C:\WINDOWS\System32\Wins\
Correctif Microsoft KB824146 n'est pas installé
Correctif Microsoft KB835732 n'est pas installé
Le pb de la page d'accueil est eds deconnexion est toujours là helas :( mais merci de m'avoir aidé !
Taches effectués sur le PC :
Elément(s) supprimé(s) :
Fichier C:\WINDOWS\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)
Fichier C:\WINDOWS\preinstt.exe supprimé (Virus Trojan.BiSpy)
Fichier C:\WINDOWS\twaintec.dll supprimé (Virus Trojan.BiSpy)
Fichier C:\WINDOWS\System32\cax.dll supprimé (Virus Inconnu)
Fichiers C:\WINDOWS\Downloaded Program Files\*.exe (Virus Dialers) :
C:\WINDOWS\Downloaded Program Files\load.exe
Fichier(s) avec demande de suppression manuelle :
C:\WINDOWS\System32\Wins\
Correctif Microsoft KB824146 n'est pas installé
Correctif Microsoft KB835732 n'est pas installé
Le pb de la page d'accueil est eds deconnexion est toujours là helas :( mais merci de m'avoir aidé !
Au passahe, j'en profite pour vous demander les trucs que trouver adaware, dois je les supprimer, parce que les fichiers dll rangé dans le dossier system ou les clés j'ai peur que ça provoque des petits dégats en les supprimamnt à la barbare, non ?
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
28 mai 2004 à 23:52
28 mai 2004 à 23:52
salut
pour adadware tu suppr tous ce qu il trouve de toute facon il fait des sauvegardes en cas dee probleme
pour ta page essai en premier spybot derniere version corrige les problemes et pense a clicker sur vacciner
spyboot
http://www.safer-networking.org/index.php?page=mirrors
ensuite essai celui la
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
pour adadware tu suppr tous ce qu il trouve de toute facon il fait des sauvegardes en cas dee probleme
pour ta page essai en premier spybot derniere version corrige les problemes et pense a clicker sur vacciner
spyboot
http://www.safer-networking.org/index.php?page=mirrors
ensuite essai celui la
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
j'ai suivi une nouvelle fois tes conseils, et mon pb de connexion est résolu apperemment, mais au lancement d'internet exploere je tombe toujours sur webcool searsh et les fenêtres se lancent toujours, m'enfin, c'est déjà bien de rester connecté :)
En tout cas Spybot, me met plus aucun trucs CWShredder je l'ai bien aplliqué comme il faut mais im m'a jamais rien donné.
Encore merci de m'avoir aider !
En tout cas Spybot, me met plus aucun trucs CWShredder je l'ai bien aplliqué comme il faut mais im m'a jamais rien donné.
Encore merci de m'avoir aider !
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
29 mai 2004 à 01:48
29 mai 2004 à 01:48
salut
refait hijack
Hijackthis : http://www.spychecker.com/download/download_hijackthis.html
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche
refait hijack
Hijackthis : http://www.spychecker.com/download/download_hijackthis.html
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche
Et voilà le log, à noter qu'un nouveau phénomène est apparu, j'entend régulièrement des petits "blip" lorque je suis sur internet et je sais pas du tout d'où ça vient...
Logfile of HijackThis v1.97.7
Scan saved at 01:52:25, on 29/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\wintime.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wcpsvcc.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Pierre.PC\LOCALS~1\Temp\Rar$EX00.088\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [usmmvqdwxyrz] C:\WINDOWS\System32\iofghqsr.exe
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mstasks2.exe /u
O4 - HKLM\..\Run: [PestPatrol Control Center] c:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] c:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] c:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINT] C:\WINDOWS\System32\wcpsvcc.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://accu.acculoader.com/download/dialer/eu_cax.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a4b2ccb10bd9b0eb05/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C54760AC-3F3E-42B1-BE7C-8A63283EF6FF}: NameServer = 80.10.246.1 80.10.246.132
Logfile of HijackThis v1.97.7
Scan saved at 01:52:25, on 29/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\wintime.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wcpsvcc.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Pierre.PC\LOCALS~1\Temp\Rar$EX00.088\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [usmmvqdwxyrz] C:\WINDOWS\System32\iofghqsr.exe
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mstasks2.exe /u
O4 - HKLM\..\Run: [PestPatrol Control Center] c:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] c:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] c:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINT] C:\WINDOWS\System32\wcpsvcc.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://accu.acculoader.com/download/dialer/eu_cax.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a4b2ccb10bd9b0eb05/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C54760AC-3F3E-42B1-BE7C-8A63283EF6FF}: NameServer = 80.10.246.1 80.10.246.132
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
29 mai 2004 à 12:06
29 mai 2004 à 12:06
Salut relance hijack coche et fix ces lignes
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
O4 - HKLM\..\Run: [usmmvqdwxyrz] C:\WINDOWS\System32\iofghqsr.exe
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://accu.acculoader.com/download/dialer/eu_cax.cab
Celui la tu l arrette via click droit et tu redemarre
C:\Program Files\Winamp\winampa.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
O4 - HKLM\..\Run: [usmmvqdwxyrz] C:\WINDOWS\System32\iofghqsr.exe
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://accu.acculoader.com/download/dialer/eu_cax.cab
Celui la tu l arrette via click droit et tu redemarre
C:\Program Files\Winamp\winampa.exe
Salut, j'ai fait ce que tu m'as dit mais j'ai beau fixer les lignes R0 R1, elles reviennent toujours!
Salut
Regarde ici et nous quoi
http://www.commentcamarche.net/forum/affich-769437-Solution-Greatsearch-biz
A+
Regarde ici et nous quoi
http://www.commentcamarche.net/forum/affich-769437-Solution-Greatsearch-biz
A+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
29 mai 2004 à 20:58
29 mai 2004 à 20:58
salut
il faut suppr toutes les lignes que j ai mis
et arreter
C:\Program Files\Winamp\winampa.exe
il faut suppr toutes les lignes que j ai mis
et arreter
C:\Program Files\Winamp\winampa.exe
C'est ce que j'ai fait, enfin winamp je l'ai arrêté en faisant control alt sup puis "terminer", c bien comme ça qu'il faut faire ?
Voilà le pb est résolu, donc pour ceuq eu ça intéresse, comme dis dans le poste http://www.commentcamarche.net/forum/affich-769437-Solution-Greatsearch-biz , il faut se mettre n mode sans echec pour effacer un fichier nommé system32.dll, prséent dans le répertoire system32 lui même dans le répertoire windows.
Ensuite, avec hijackthis, on élimine les lignes génantes et hop, ça marche, merci à tous pour votre aide !
Ensuite, avec hijackthis, on élimine les lignes génantes et hop, ça marche, merci à tous pour votre aide !
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
30 mai 2004 à 15:41
30 mai 2004 à 15:41
salut
oki
pour winamp
et bien jouer pour le reste
oki
pour winamp
et bien jouer pour le reste