Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

virus et trojan difficile a supprimer [Résolu]

 

1 utilisateur anonyme et 49 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1  2
Dernière Page
Page Suivante
Page Précédente
Première Page
Auteur
 Sujet :

virus et trojan difficile a supprimer [Résolu]

Prévenir les modérateurs en cas d'abus 
pbs
pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 16/03/2006 à 16:28:15  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Un ami ma donné son pc pour le depanner
 j'ai installé avg,adaware,spybot, regcleaner, ewido, stinger, remover...
 j'ai trouvé un nombre impressionnant de trojan et virus
 j'ai lancé les programme de nettoyage en mode normal et sans echec
 le pc tourne avec xp home edition
 j'ai essaye de reparer windows xp avec le cd d'installation
 j'ai telecharger et installé xp sp2

 je pense ne pas avoir réussi a me debarasser de tout
 spybot me dit que le firewall est bloque et que la notification de l'antivirus, des mises a jour sont bloquees

 windows me dit que le firewall ne sait pas se lancer pour une raison inconnue(le centre securite n'est pas lancé)
 des que je branche le cable de ma connection internet le pc ralenti
 ie affiche lentement la page du demarage et ensuite plante pour les autre sites(serveur non trouvé)
 avg ou ewido m'affiche un avertissement de la detection de trojan comme "downloader. ..."
 voici le hijackthis
 avez-vous une idee?

nadmin
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 16/03/2006 à 16:33:04  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Merci de lire les règles...
 Pas de rapport avant qu'il n'en soit demandé un :jap:

(Publicité)
pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 16/03/2006 à 16:40:49  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

N.Tary a écrit :

Merci de lire les règles...
 Pas de rapport avant qu'il n'en soit demandé un :jap:
 




 désolé N. Tary pour l'avoir fais
 je suis nouveau et tellement concentré sur le pc qui me pose problème
 je ne savais pas

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 16/03/2006 à 17:36:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
je viens d'essayer d'aller sur le site de symantec pour passer le l'antivirus en ligne.
 jamais reussi a commencer l'analyse
 je suis rester que 5 minute connecté a internet
 apres j'ai repassé  ad-aware qui a trouve
 cookie
 trojan: win32.trojan.downloader
 other

 est-ce que quelqu'un a une idee pour m'aider
 svp merci

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 16/03/2006 à 18:01:23  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
-Télécharges HijackThis:  http://www.01net.com/telecharg [...] 29061.html
 -Crée un dossier nommé HijackThis sur le bureau et place "HijackThis.exe" dedans.
 -Exécute le et clique sur "Do a scan and save log file".
 -Copie et colle ici ton rapport ouvert avec le bloc note. Sans rien faire d'autre.

(Publicité)
pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 16/03/2006 à 18:58:55  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Logfile of HijackThis v1.99.1
 Scan saved at 18:57:21, on 16/03/2006
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\LEXBCES.EX​E
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\WINDOWS\system32\LEXPPS.EXE
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 C:\Program Files\ewido anti-malware\ewidoctrl.exe
 C:\WINDOWS\system32\hal.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\winscntrl.​exe
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\Mixer.exe
 C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 C:\WINDOWS\System32\LXSUPMON.E​XE
 C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe
 C:\WINDOWS\system32\ctfmon.exe
 C:\Program Files\Messenger\msmsgs.exe
 C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
 C:\HijackThis.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.skynet.be/
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Page = about:blank
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Search,SearchAssistan​t = about:blank
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
 O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.E​XE RUN
 O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe /STARTUP
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04​F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
 O15 - Trusted Zone: *.freeemotes.com
 O16 - DPF: {644E432F-49D3-41A1-8DD5-E0991​62EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/s [...] /cabsa.cab
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll
 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
 O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
 O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EX​E
 O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 16/03/2006 à 19:25:37  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Lance HijackThis => Do a sysytem scan only => coche ces lignes :

 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll

 Ensuite ferme tes programmes en cours (seul HijackThis doit être ouvert) et cliques sur "FixChecked".
 ____

 - télécharge et installe ewido : http://download.ewido.net/ewido-setup.exe
 - lance Ewido et mets-le à jour
 - Redémarre en mode sans échec, (en tapotant F8 au démarrage)
 - Lance ewido
 - clique "Complete System Scan"
 Attention, pendant le scan, ne pas ouvrir de dossier ou le panneau de configuration
 - quand le scan est terminé, clique sur "Save Report" et Copie/colle le rapport.

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 16/03/2006 à 23:08:07  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
j'ai fais ce que vous m'avez demandé

 ensuite j'ai redemaré
 reconnecte le cable internet
 pc devenu lent

 dans le centre de securite:
 mise a jour etait desactive. je l'ai reactive.
 pare feu non lance.

 dans ie impossible d'afficher une page(serveur introuvable)

 ewido c'est declanche
 fichier infecte c:\windows\temp
 downloader.small.ckj

 windows a essaye de telecharger une mise a jour mais n'a pas ete plus loin que 2% puit a disparu.

 j'ai debranche le cable internet
 le pc est redevenu rapide

 dans le centre de securite
 la mise a jour automatique avait ete de nouveau desactivee

 que me proposer vous de faire???


 ------------------------------​---------------------------
 ewido anti-malware - Rapport de scan
 ------------------------------​---------------------------

 + Créé le:  22:13:51, 16/03/2006
 + Somme de contrôle: 6D357203

 + Résultats du scan:

  Pas de fichiers infectés trouvés!


 ::Fin du rapport

 Logfile of HijackThis v1.99.1
 Scan saved at 22:42:32, on 16/03/2006
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\LEXBCES.EX​E
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\WINDOWS\system32\LEXPPS.EXE
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 C:\WINDOWS\Explorer.EXE
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 C:\Program Files\ewido anti-malware\ewidoctrl.exe
 C:\Program Files\ewido anti-malware\ewidoguard.exe
 C:\WINDOWS\system32\hal.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\winscntrl.​exe
 C:\WINDOWS\Mixer.exe
 C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 C:\WINDOWS\System32\LXSUPMON.E​XE
 C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe
 C:\WINDOWS\system32\ctfmon.exe
 C:\Program Files\Messenger\msmsgs.exe
 C:\WINDOWS\system32\wuauclt.ex​e
 C:\WINDOWS\system32\wuauclt.ex​e
 C:\HijackThis.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.skynet.be/
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Page = about:blank
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Search,SearchAssistan​t = about:blank
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
 O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.E​XE RUN
 O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe /STARTUP
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04​F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
 O15 - Trusted Zone: *.freeemotes.com
 O16 - DPF: {644E432F-49D3-41A1-8DD5-E0991​62EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/s [...] /cabsa.cab
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll
 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
 O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
 O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EX​E
 O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

(Publicité)
rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 16/03/2006 à 23:10:22  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Fais ce scan en ligne :
 http://www.pandasoftware.com/a [...] ncipal.htm

 Colle ici a la fin le rapport.

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 00:53:19  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
je n'ai pas reussi a faire le test en mode normal(pc trop lent et pages qui ne s'affichent pas correctements)
 donc test realise en mode sans echec

 Incident                                                                       Statut                        Analyse                                                                                                    Virus Eventuel.                                                                 No Désinfecté                 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\AVXZ1AVD\sys​dat[1].exe                                                                                                    Spyware:Cookie/MetriWeb                                                         No Désinfecté                 C:\Documents and Settings\Puissant Carine\Cookies\puissant carine@metriweb[1].txt                                                                                                    Adware:Adware/Deskwizz                                                          No Désinfecté                 C:\DR140306.exe                                                                                                    Adware:Adware/DollarRevenue                                                     No Désinfecté                 C:\keyboard2.exe                                                                                                    Outil indésirable:Application/ServUB​ased.A                                      No Désinfecté                 C:\RECYCLER\bin32\svchost.exe                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c83.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c84.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c85.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c86.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c87.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c88.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c89.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c90.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c91.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c92.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c93.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c94.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c95.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c96.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c97.tmp1                                                                                                    Adware:Adware/EliteBar                                                          No Désinfecté                 C:\RECYCLER\S-1-5-21-408688181​8-2704883870-4021508746-1006\D​c98.tmp1                                                                                                    Adware:adware/dollarrevenue                                                     No Désinfecté                 C:\WINDOWS\keyboard21.dat                                                                                                    Virus:Bck/Aemon.R                                                               Désinfecté                    C:\WINDOWS\system32\hal.exe                                                                                                    Virus:W32/Sdbot.ftp                                                             Désinfecté                    C:\WINDOWS\system32\i                                                                                                    Virus:W32/Sdbot.GUI.worm                                                        Désinfecté                    C:\WINDOWS\system32\winscntrl.​exe                                                                                                    Adware:Adware/Maxifiles                                                         No Désinfecté                 C:\WINDOWS\Temp\mc-110-12-0000​248.exe                                                                                                    Adware:adware/cws.searchmeup                                                    No Désinfecté                 C:\WINDOWS\toolbar.exe                                                                                                    

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 08:02:03  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Vide ta corbeille.

 C:\WINDOWS\Temp <- vide le contenu du dossier, le CONTENU.
 C:\WINDOWS\keyboard21.dat <- supprime le dosier.
 C:\WINDOWS\toolbar.exe <- supprime le dosier.
 C:\DR140306.exe<- supprime le dosier.
 C:\keyboard2.exe<- supprime le dosier.
 ____

 Télécharge SmitfraudFix. http://siri.urz.free.fr/Fix/SmitfraudFix.zip
 Dézippe le dossier sur ton bureau.
 Dans le dossier, double-clic sur SmitfraudFix.cmd,
 Lance option 1.
 et colle le log généré.

(Publicité)
pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 09:31:32  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
voici le resultat obtenu

 SmitFraudFix v2.25

 Rapport fait à  9:27:33,12 le ven. 17/03/2006
 Executé à partir de C:\Documents and Settings\Puissant Carine\Bureau\SmitfraudFix
 OS: Microsoft Windows XP [version 5.1.2600]

  » » » » » » » » » » » » » » » » » » » » » » » » Recherche C:\


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche C:\WINDOWS


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche C:\WINDOWS\system


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche C:\WINDOWS\Web


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche C:\WINDOWS\system32


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche C:\Documents and Settings\Puissant Carine\Application Data


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche Menu Démarrer


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche Favoris


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche Bureau


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche C:\Program Files


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche présence de clés corrompues


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche éléments du bureau
 
 [HKEY_CURRENT_USER\Software\Mic​rosoft\Internet Explorer\Desktop\Components\0]
 "Source"="About:Home"
 "SubscribedURL"="About:Home"
 "FriendlyName"="Ma page d'accueil"
 

  » » » » » » » » » » » » » » » » » » » » » » » » Recherche Sharedtaskscheduler

 SrchSTS.exe by S!Ri
 Search SharedTaskScheduler's .dll

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Explorer\SharedTaskScheduler]
 "{438755C2-A8BA-11D1-B96B-00A0​C90312E1}"="Pré-chargeur Browseui"

 [HKEY_CLASSES_ROOT\CLSID\{43875​5C2-A8BA-11D1-B96B-00A0C90312E​1}\InProcServer32]
 @="%SystemRoot%\System32\brows​eui.dll"

 [HKEY_LOCAL_MACHINE\Software\Cl​asses\CLSID\{438755C2-A8BA-11D​1-B96B-00A0C90312E1}\InProcSer​ver32]
 @="%SystemRoot%\System32\brows​eui.dll"


 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Explorer\SharedTaskScheduler]
 "{8C7461EF-2B13-11d2-BE35-3078​302C2030}"="Démon de cache des catégories de composant"

 [HKEY_CLASSES_ROOT\CLSID\{8C746​1EF-2B13-11d2-BE35-3078302C203​0}\InProcServer32]
 @="%SystemRoot%\System32\brows​eui.dll"

 [HKEY_LOCAL_MACHINE\Software\Cl​asses\CLSID\{8C7461EF-2B13-11d​2-BE35-3078302C2030}\InProcSer​ver32]
 @="%SystemRoot%\System32\brows​eui.dll"


  » » » » » » » » » » » » » » » » » » » » » » » » Recherche infection wininet.dll


  » » » » » » » » » » » » » » » » » » » » » » » » Fin du rapport

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 15:20:40  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Redémarres en mode sqans echec lance smitfraudfix, choisis l'option 2.
 Colle ici le rapport.
 ____

 Re-fais ce scan en ligne :
 http://www.pandasoftware.com/a [...] ncipal.htm

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 16:49:29  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
voila les resultats

 SmitFraudFix v2.25

 Rapport fait à 15:52:07,12 le ven. 17/03/2006
 Executé à partir de C:\Documents and Settings\Puissant Carine\Bureau\SmitfraudFix
 OS: Microsoft Windows XP [version 5.1.2600]

  » » » » » » » » » » » » » » » » » » » » » » » » Arret des processus


  » » » » » » » » » » » » » » » » » » » » » » » » Suppression des fichiers infectés


  » » » » » » » » » » » » » » » » » » » » » » » » Nettoyage Fichiers Temporaires

 
  » » » » » » » » » » » » » » » » » » » » » » » » Nettoyage du registre
 
 Nettoyage terminé.

  » » » » » » » » » » » » » » » » » » » » » » » » Fin du rapport

 Incident                                                                        Statut                        Analyse                                                                                                    Virus Eventuel.                                                                 No Désinfecté                 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\AVXZ1AVD\sys​dat[1].exe                                                                                                    Outil indésirable:Application/Proces​sor                                         No Désinfecté                 C:\Documents and Settings\Puissant Carine\Bureau\SmitfraudFix\Pro​cess.exe                                                                                                    Spyware:Cookie/MetriWeb                                                         No Désinfecté                 C:\Documents and Settings\Puissant Carine\Cookies\puissant carine@metriweb[1].txt                                                                                                    Virus:Trj/Torpig.AS                                                             No Désinfecté                 C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.dll                                                                                                    Outil indésirable:Application/ServUB​ased.A                                      No Désinfecté                 C:\RECYCLER\bin32\svchost.exe                                                                                                    Outil indésirable:Application/Proces​sor                                         No Désinfecté                 C:\WINDOWS\system32\Process.ex​e                                                                                                    Adware:adware/cws.searchmeup                                                    No Désinfecté                 C:\WINDOWS\uniq                                                                                                    

(Publicité)
rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 17:02:51  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Vide ta corbeille et suprime ce fichier :
 C:\WINDOWS\uniq

 Colle un nouveau log hijacthis.

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 17:50:37  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
voila je suis resté en mode sans echec pour effectué la manip
 voici le log

 Logfile of HijackThis v1.99.1
 Scan saved at 17:47:41, on 17/03/2006
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\explorer.exe
 C:\HijackThis.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
 O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.E​XE RUN
 O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe /STARTUP
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04​F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
 O15 - Trusted Zone: *.freeemotes.com
 O16 - DPF: {644E432F-49D3-41A1-8DD5-E0991​62EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/s [...] /cabsa.cab
 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F​29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/a [...] asinst.cab
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll
 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
 O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
 O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
 O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EX​E
 O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
 O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.​exe (file missing)

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 17:56:13  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Lance HijackThis => Do a sysytem scan only => coche ces lignes :

 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04​F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dl
 O15 - Trusted Zone: *.freeemotes.com
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll
 O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.​exe (file missing)

 Ensuite ferme tes programmes en cours (seul HijackThis doit être ouvert) et cliques sur "FixChecked".
 ____

 Recolles un log hijackthis.

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 18:25:09  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Logfile of HijackThis v1.99.1
 Scan saved at 18:22:10, on 17/03/2006
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\explorer.exe
 C:\HijackThis.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
 O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.E​XE RUN
 O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe /STARTUP
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
 O16 - DPF: {644E432F-49D3-41A1-8DD5-E0991​62EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/s [...] /cabsa.cab
 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F​29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/a [...] asinst.cab
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll
 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
 O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
 O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
 O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EX​E
 O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
 O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.​exe (file missing)

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 18:32:48  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Télécharge l2mfix :
 http://www.pcparadise.fr/logit [...] php3?id=26

 clique sur l2mfix.exe
 Dans le dossier l2mfix
 double clic sur l2mfix.bat
 appuyer sur n'importe quelle touche puis choisir l'option #1 (et pas autre chose) et valider avec la touche entrée.
 Le bloc note va s'ouvrir avec le résultat du scan
 colle le ici

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 18:41:17  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
voici le resultat

 L2MFIX find log 010406
 These are the registry keys present
 ******************************​******************************​**********************
 Winlogon/notify:
 Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify]

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
 "Asynchronous"=dword:00000000
 "Impersonate"=dword:00000000
 "DllName"=hex(2):63,00,72,00,7​9,00,70,00,74,00,33,00,32,00,2​e,00,64,00,6c,00,\
  6c,00,00,00
 "Logoff"="ChainWlxLogoffEvent"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
 "Asynchronous"=dword:00000000
 "Impersonate"=dword:00000000
 "DllName"=hex(2):63,00,72,00,7​9,00,70,00,74,00,6e,00,65,00,7​4,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Logoff"="CryptnetWlxLogoffEve​nt"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
 "DLLName"="cscdll.dll"
 "Logon"="WinlogonLogonEvent"
 "Logoff"="WinlogonLogoffEvent"
 "ScreenSaver"="WinlogonScreenS​averEvent"
 "Startup"="WinlogonStartupEven​t"
 "Shutdown"="WinlogonShutdownEv​ent"
 "StartShell"="WinlogonStartShe​llEvent"
 "Impersonate"=dword:00000000
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\efeba]
 "Asynchronous"=dword:00000001
 "DllName"="C:\\WINDOWS\\System​32\\efeba.dll"
 "Impersonate"=dword:00000000
 "Startup"="SysLogon"
 "Logoff"="SysLogoff"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
 "DLLName"="wlnotify.dll"
 "Logon"="SCardStartCertProp"
 "Logoff"="SCardStopCertProp"
 "Lock"="SCardSuspendCertProp"
 "Unlock"="SCardResumeCertProp"
 "Enabled"=dword:00000001
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
 "Asynchronous"=dword:00000000
 "DllName"=hex(2):77,00,6c,00,6​e,00,6f,00,74,00,69,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Impersonate"=dword:00000000
 "StartShell"="SchedStartShell"
 "Logoff"="SchedEventLogOff"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
 "Logoff"="WLEventLogoff"
 "Impersonate"=dword:00000000
 "Asynchronous"=dword:00000001
 "DllName"=hex(2):73,00,63,00,6​c,00,67,00,6e,00,74,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
 "DLLName"="WlNotify.dll"
 "Lock"="SensLockEvent"
 "Logon"="SensLogonEvent"
 "Logoff"="SensLogoffEvent"
 "Safe"=dword:00000001
 "MaxWait"=dword:00000258
 "StartScreenSaver"="SensStartS​creenSaverEvent"
 "StopScreenSaver"="SensStopScr​eenSaverEvent"
 "Startup"="SensStartupEvent"
 "Shutdown"="SensShutdownEvent"
 "StartShell"="SensStartShellEv​ent"
 "PostShell"="SensPostShellEven​t"
 "Disconnect"="SensDisconnectEv​ent"
 "Reconnect"="SensReconnectEven​t"
 "Unlock"="SensUnlockEvent"
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
 "Asynchronous"=dword:00000000
 "DllName"=hex(2):77,00,6c,00,6​e,00,6f,00,74,00,69,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Impersonate"=dword:00000000
 "Logoff"="TSEventLogoff"
 "Logon"="TSEventLogon"
 "PostShell"="TSEventPostShell"
 "Shutdown"="TSEventShutdown"
 "StartShell"="TSEventStartShel​l"
 "Startup"="TSEventStartup"
 "MaxWait"=dword:00000258
 "Reconnect"="TSEventReconnect"
 "Disconnect"="TSEventDisconnec​t"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
 "DLLName"="wlnotify.dll"
 "Logon"="RegisterTicketExpired​NotificationEvent"
 "Logoff"="UnregisterTicketExpi​redNotificationEvent"
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 ******************************​******************************​**********************
 useragent:
 Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Internet Settings\User Agent\Post Platform]
 "iebar"=" "
 "acc=baadshah"=" "
 "acc=none"=" "
 "SV1"=""

 ******************************​******************************​**********************
 Shell Extension key:
 Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Shell Extensions\Approved]
 "{00022613-0000-0000-C000-0000​00000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
 "{176d6597-26d3-11d1-b350-0800​36a75b03}"="Gestion de scanneur ICM"
 "{1F2E5C40-9550-11CE-99D2-00AA​006E086C}"="Page de s‚curit‚ NTFS"
 "{3EA48300-8CF6-101B-84FB-666C​CB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
 "{40dd6e20-7c17-11ce-a804-00aa​003ca9f6}"="Extensions de l'environnement pour le partage"
 "{41E300E0-78B6-11ce-849B-4445​53540000}"="PlusPack CPL Extension"
 "{42071712-76d4-11d1-8b24-00a0​c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
 "{42071713-76d4-11d1-8b24-00a0​c9068ff3}"="Extension Affichage cran du Panneau de configuration"
 "{42071714-76d4-11d1-8b24-00a0​c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
 "{4E40F770-369C-11d0-8922-00A0​24AB2DBB}"="Page de s‚curit‚ DS"
 "{513D916F-2A8E-4F51-AEAB-0CBC​76FB1AF8}"="Page de compatibilit‚"
 "{56117100-C0CD-101B-81E2-00AA​004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
 "{59099400-57FF-11CE-BD94-0020​AF85B590}"="Extension copie de disquette"
 "{59be4990-f85c-11ce-aff7-00aa​003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
 "{5DB2625A-54DF-11D0-B6C4-0800​091AA605}"="Gestion d'‚cran ICM"
 "{675F097E-4C4D-11D0-B6C1-0800​091AA605}"="Gestion d'imprimante ICM"
 "{764BF0E1-F219-11ce-972D-00AA​00A14F56}"="Extensions de l'environnement de compression de fichiers"
 "{77597368-7b15-11d0-a0c2-0800​36af3f03}"="Extension de l'environnement d'imprimante Web"
 "{7988B573-EC89-11cf-9C00-00AA​00A14F56}"="Disk Quota UI"
 "{853FE2B1-B769-11d0-9C4E-00C0​4FB6C6FA}"="Menu contextuel de cryptage"
 "{85BBD920-42A0-1069-A2E4-0800​2B30309D}"="Porte-documents"
 "{88895560-9AA2-1069-930E-00AA​0030EBC8}"="Extension ic“ne HyperTerminal"
 "{BD84B380-8CA2-1069-AB1D-0800​0948F534}"="Fonts"
 "{DBCE2480-C732-101B-BE72-BA78​E9AD5B27}"="Profil ICC"
 "{F37C5810-4D3F-11d0-B4BF-00AA​00BBB723}"="Page de s‚curit‚ des imprimantes"
 "{f81e9010-6ea4-11ce-a7ff-00aa​003ca9f6}"="Extensions de l'environnement pour le partage"
 "{f92e8c40-3d33-11d2-b1aa-0800​36a75b03}"="Display TroubleShoot CPL Extension"
 "{7444C717-39BF-11D1-8CD9-00C0​4FC29D45}"="Extension de cryptographie PKO"
 "{7444C719-39BF-11D1-8CD9-00C0​4FC29D45}"="Extension de cryptographie Sign"
 "{7007ACC7-3202-11D1-AAD2-0080​5FC1270E}"="Connexions r‚seau"
 "{992CFFA0-F557-101A-88EC-00DD​010CCC48}"="Connexions r‚seau"
 "{E211B736-43FD-11D1-9EFB-0000​F8757FCD}"="&Scanneurs et appareils photo"
 "{FB0C9C8A-6C50-11D1-9F1D-0000​F8757FCD}"="&Scanneurs et appareils photo"
 "{905667aa-acd6-11d2-8080-0080​5f6596d2}"="&Scanneurs et appareils photo"
 "{3F953603-1008-4f6e-A73A-04AA​C7A992F1}"="&Scanneurs et appareils photo"
 "{83bbcbf3-b28a-4919-a5aa-7302​7445d672}"="&Scanneurs et appareils photo"
 "{F0152790-D56E-4445-850E-4F31​17DB740C}"="Remote Sessions CPL Extension"
 "{5F327514-6C5E-4d60-8F16-D07F​A08A78ED}"="Auto Update Property Sheet Extension"
 "{60254CA5-953B-11CF-8C96-00AA​00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
 "{2206CDB2-19C1-11D1-89E0-00C0​4FD7A829}"="Liaison de donn‚es Microsoft"
 "{DD2110F0-9EEF-11cf-8D8E-00AA​0060F5BF}"="Tasks Folder Icon Handler"
 "{797F1E90-9EDD-11cf-8D8E-00AA​0060F5BF}"="Tasks Folder Shell Extension"
 "{D6277990-4C6A-11CF-8D87-00AA​0060F5BF}"="Tƒches planifi‚es"
 "{0DF44EAA-FF21-4412-828E-260A​8728E7F1}"="Barre des tƒches et menu D‚marrer"
 "{2559a1f0-21d7-11d4-bdaf-00c0​4f60b9f0}"="Rechercher"
 "{2559a1f1-21d7-11d4-bdaf-00c0​4f60b9f0}"="Aide et support"
 "{2559a1f2-21d7-11d4-bdaf-00c0​4f60b9f0}"="Aide et support"
 "{2559a1f3-21d7-11d4-bdaf-00c0​4f60b9f0}"="Ex‚cuter..."
 "{2559a1f4-21d7-11d4-bdaf-00c0​4f60b9f0}"="Internet"
 "{2559a1f5-21d7-11d4-bdaf-00c0​4f60b9f0}"="Courrier ‚lectronique"
 "{D20EA4E1-3957-11d2-A40B-0C50​20524152}"="Polices"
 "{D20EA4E1-3957-11d2-A40B-0C50​20524153}"="Outils d'administration"
 "{875CB1A1-0F29-45de-A1AE-CFB4​950D0B78}"="Audio Media Properties Handler"
 "{40C3D757-D6E4-4b49-BB41-0E5B​BEA28817}"="Video Media Properties Handler"
 "{E4B29F9D-D390-480b-92FD-7DDB​47101D71}"="Wav Properties Handler"
 "{87D62D94-71B3-4b9a-9489-5FE6​850DC73E}"="Avi Properties Handler"
 "{A6FD9E45-6E44-43f9-8644-0859​8F5A74D9}"="Midi Properties Handler"
 "{c5a40261-cd64-4ccf-84cb-c394​da41d590}"="Video Thumbnail Extractor"
 "{5E6AB780-7743-11CF-A12B-00AA​004AE837}"="Barre d'outils Internet Microsoft"
 "{22BF0C20-6DA7-11D0-B373-00A0​C9034938}"="tat du t‚l‚chargement"
 "{91EA3F8B-C99B-11d0-9815-00C0​4FD91972}"="Dossier Bureau ‚tendu"
 "{6413BA2C-B461-11d1-A18A-0800​36B11A03}"="Dossier du shell augment‚"
 "{F61FFEC1-754F-11d0-80CA-00AA​005B4383}"="BandProxy"
 "{7BA4C742-9E81-11CF-99D3-00AA​004AE837}"="Bande du navigateur Microsoft"
 "{30D02401-6A81-11d0-8274-00C0​4FD5AE38}"="Bande de recherche"
 "{32683183-48a0-441b-a342-7c2a​440a9478}"="Media Band"
 "{169A0691-8DF9-11d1-A1C4-00C0​4FD75D13}"="Volet int‚gr‚ de recherche"
 "{07798131-AF23-11d1-9111-00A0​C98BA67D}"="Recherche Web"
 "{AF4F6510-F982-11d0-8595-00AA​004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
 "{01E04581-4EEE-11d0-BFE9-00AA​005B4383}"="&Adresse"
 "{A08C11D2-A228-11d0-825B-00AA​005B4383}"="BoŒte d'entr‚e de l'adresse"
 "{00BB2763-6A77-11D0-A535-00C0​4FD7D062}"="Saisie semi-automatique Microsoft"
 "{7376D660-C583-11d0-A3A5-00C0​4FD706EC}"="TridentImageExtrac​tor"
 "{6756A641-DE71-11d0-831B-00AA​005B4383}"="Liste de saisie semi-automatique MRU"
 "{6935DB93-21E8-4ccc-BEB9-9FE3​C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
 "{7e653215-fa25-46bd-a339-34a2​790f3cb7}"="Accessible"
 "{acf35015-526e-4230-9596-becb​e19f0ac9}"="Barre de progrŠs auto-ouvrante"
 "{E0E11A09-5CB8-4B6C-8332-E007​20A168F2}"="Analyseur de la barre d'adresses"
 "{00BB2764-6A77-11D0-A535-00C0​4FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
 "{03C036F1-A186-11D0-824A-00AA​005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
 "{00BB2765-6A77-11D0-A535-00C0​4FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
 "{ECD4FC4E-521C-11D0-B792-00A0​C90312E1}"="Menu Site de bandes"
 "{3CCF8A41-5C85-11d0-9796-00AA​00B90ADF}"="Shell DeskBarApp"
 "{ECD4FC4C-521C-11D0-B792-00A0​C90312E1}"="Barre du Bureau"
 "{ECD4FC4D-521C-11D0-B792-00A0​C90312E1}"="Shell Rebar BandSite"
 "{DD313E04-FEFF-11d1-8ECD-0000​F87A470C}"="Assistance utilisateur"
 "{EF8AD2D1-AE36-11D1-B2D2-0060​97DF8C11}"="ParamŠtres du dossier global"
 "{EFA24E61-B078-11d0-89E4-00C0​4FC9E26E}"="Favorites Band"
 "{0A89A860-D7B1-11CE-8350-4445​53540000}"="Shell Automation Inproc Service"
 "{E7E4BC40-E76A-11CE-A9BB-00AA​004AE837}"="Shell DocObject Viewer"
 "{A5E46E3A-8849-11D1-9D8C-00C0​4FC99D61}"="Microsoft Browser Architecture"
 "{FBF23B40-E3F0-101B-8488-00AA​003E56F8}"="InternetShortcut"
 "{3C374A40-BAE4-11CF-BF7D-00AA​006946EE}"="Microsoft Url History Service"
 "{FF393560-C2A7-11CF-BFF4-4445​53540000}"="Historique"
 "{7BD29E00-76C1-11CF-9DD0-00A0​C9034933}"="Temporary Internet Files"
 "{7BD29E01-76C1-11CF-9DD0-00A0​C9034933}"="Temporary Internet Files"
 "{CFBFAE00-17A6-11D0-99CB-00C0​4FD64497}"="Microsoft Url Search Hook"
 "{A2B0DD40-CC59-11d0-A3A5-00C0​4FD706EC}"="Image de d‚marrage de la Suite IE4"
 "{67EA19A0-CCEF-11d0-8024-00C0​4FD75D13}"="CDF Extension Copy Hook"
 "{131A6951-7F78-11D0-A979-00C0​4FD705A2}"="ISFBand OC"
 "{9461b922-3c5a-11d2-bf8b-00c0​4fb93661}"="Search Assistant OC"
 "{3DC7A020-0ACD-11CF-A9BB-00AA​004AE837}"="Internet"
 "{871C5380-42A0-1069-A2EA-0800​2B30309D}"="Internet Name Space"
 "{EFA24E64-B078-11d0-89E4-00C0​4FC9E26E}"="Explorer Band"
 "{9E56BE60-C50F-11CF-9A2C-00A0​C90A90CE}"="Sendmail service"
 "{9E56BE61-C50F-11CF-9A2C-00A0​C90A90CE}"="Sendmail service"
 "{88C6C381-2E85-11D0-94DE-4445​53540000}"="Dossier ActiveX Cache"
 "{E6FB5E20-DE35-11CF-9C87-00AA​005127ED}"="WebCheck"
 "{ABBE31D0-6DAE-11D0-BECA-00C0​4FD940BE}"="Subscription Mgr"
 "{F5175861-2688-11d0-9C5E-00AA​00A45957}"="Dossier Inscription"
 "{08165EA0-E946-11CF-9C87-00AA​005127ED}"="WebCheckWebCrawler​"
 "{E3A8BDE6-ABCE-11d0-BC4B-00C0​4FD929DB}"="WebCheckChannelAge​nt"
 "{E8BB6DC0-6B4E-11d0-92DB-00A0​C90C2BD7}"="TrayAgent"
 "{7D559C10-9FE9-11d0-93F7-00AA​0059CE02}"="Code Download Agent"
 "{E6CC6978-6B6E-11D0-BECA-00C0​4FD940BE}"="ConnectionAgent"
 "{D8BD2030-6FC9-11D0-864F-00AA​006809D9}"="PostAgent"
 "{7FC0B86E-5FA7-11d1-BC7C-00C0​4FD929DB}"="WebCheck SyncMgr Handler"
 "{352EC2B7-8B9A-11D1-B8AE-0060​08059382}"="Gestionnaire d'applications d'environnement"
 "{0B124F8F-91F0-11D1-B8B5-0060​08059382}"="num‚rateur d'applications install‚es"
 "{CFCCC7A0-A282-11D1-9082-0060​08059382}"="Publication d'application Darwin"
 "{e84fda7c-1d6a-45f6-b725-cb26​0c236066}"="Shell Image Verbs"
 "{66e4e4fb-f385-4dd0-8d74-a2ef​d1bc6178}"="Shell Image Data Factory"
 "{3F30C968-480A-4C6C-862D-EFC0​897BB84B}"="Extracteur de miniatures de fichier + GDI"
 "{9DBD2C50-62AD-11d0-B806-00C0​4FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
 "{EAB841A0-9550-11cf-8C16-0080​5F1408F3}"="Extracteur de miniatures HTML"
 "{eb9b1153-3b57-4e68-959a-a326​6bc3d7fe}"="Shell Image Property Handler"
 "{CC6EEFFB-43F6-46c5-9619-51D5​71967F7D}"="Assistant Publication de sites Web"
 "{add36aa8-751a-4579-a266-d66f​5202ccbb}"="Commande d'impressions via le Web"
 "{6b33163c-76a5-4b6c-bf21-45de​9cd503a1}"="Objet Assistant de publication Shell"
 "{58f1f272-9240-4f51-b6d4-fd63​d1618591}"="Assistant Obtenir une identit‚ Passport"
 "{7A9D77BD-5403-11d2-8785-2E04​20524153}"="Comptes d'utilisateurs"
 "{BD472F60-27FA-11cf-B8B4-4445​53540000}"="Compressed (zipped) Folder Right Drag Handler"
 "{888DCA60-FC0A-11CF-8F0F-00C0​4FD7D062}"="Compressed (zipped) Folder SendTo Target"
 "{63da6ec0-2e98-11cf-8d82-4445​53540000}"="FTP Folders Webview"
 "{883373C3-BF89-11D1-BE35-0800​36B11A03}"="Microsoft DocProp Shell Ext"
 "{A9CF0EAE-901A-4739-A481-E35B​73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
 "{8EE97210-FD1F-4B19-91DA-6791​4005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
 "{0EEA25CC-4362-4A12-850B-86EE​61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
 "{6A205B57-2567-4A2C-B881-F787​FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
 "{28F8A4AC-BBB3-4D9B-B177-82BF​C914FA33}"="Microsoft DocProp Inplace Time Control"
 "{8A23E65E-31C2-11d0-891C-00A0​24AB2DBB}"="Directory Query UI"
 "{9E51E0D0-6E0F-11d2-9601-00C0​4FA31A86}"="Shell properties for a DS object"
 "{163FDC20-2ABC-11d0-88F0-00A0​24AB2DBB}"="Directory Object Find"
 "{F020E586-5264-11d1-A532-0000​F8757D7E}"="Directory Start/Search Find"
 "{0D45D530-764B-11d0-A1CA-00AA​00C16E65}"="Directory Property UI"
 "{62AE1F9A-126A-11D0-A14B-0800​361B1103}"="Directory Context Menu Verbs"
 "{ECF03A33-103D-11d2-854D-0060​08059367}"="MyDocs Copy Hook"
 "{ECF03A32-103D-11d2-854D-0060​08059367}"="MyDocs Drop Target"
 "{4a7ded0a-ad25-11d0-98a8-0800​361b1103}"="MyDocs Properties"
 "{750fdf0e-2a26-11d1-a3ea-0800​36587f03}"="Offline Files Menu"
 "{10CFC467-4392-11d2-8DB4-00C0​4FA31A66}"="Offline Files Folder Options"
 "{AFDB1F70-2A4C-11d2-9039-00C0​4F8EEB3E}"="Dossier Fichiers hors connexion"
 "{143A62C8-C33B-11D1-84FE-00C0​4FA34A14}"="Microsoft Agent Character Property Sheet Handler"
 "{ECCDF543-45CC-11CE-B9BF-0080​C87CDBA6}"="DfsShell"
 "{60fd46de-f830-4894-a628-6fa8​1bc0190d}"="%DESC_PublishDropT​arget%"
 "{7A80E4A8-8005-11D2-BCF8-00C0​4F72C717}"="MMC Icon Handler"
 "{0CD7A5C0-9F37-11CE-AE65-0800​2B2E1262}"=".CAB file viewer"
 "{32714800-2E5F-11d0-8B85-00AA​0044F941}"="Des &personnes..."
 "{8DD448E6-C188-4aed-AF92-4495​6194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
 "{CE3FB1D1-02AE-4a5f-A6E9-D9F1​B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
 "{F1B9284F-E9DC-4e68-9D7E-4236​2A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
 "{9F97547E-4609-42C5-AE0C-81C6​1FFAEBC3}"="AVG7 Shell Extension"
 "{9F97547E-460A-42C5-AE0C-81C6​1FFAEBC3}"="AVG7 Find Extension"
 "{f39a0dc0-9cc8-11d0-a599-00c0​4fd64433}"="Fichier de chaŒne"
 "{f3aa0dc0-9cc8-11d0-a599-00c0​4fd64434}"="Raccourci de chaŒne"
 "{f3ba0dc0-9cc8-11d0-a599-00c0​4fd64435}"="Channel Handler Object"
 "{f3da0dc0-9cc8-11d0-a599-00c0​4fd64437}"="Channel Menu"
 "{f3ea0dc0-9cc8-11d0-a599-00c0​4fd64438}"="Channel Properties"
 "{2559a1f7-21d7-11d4-bdaf-00c0​4f60b9f0}"="Set Program Access and Defaults"
 "{596AB062-B4D2-4215-9F74-E910​9B0A8153}"="Previous Versions Property Page"
 "{9DB7A13C-F208-4981-8353-73CC​61AE2783}"="Previous Versions"
 "{692F0339-CBAA-47e6-B5B5-3B84​DB604E87}"="Extensions Manager Folder"

 ******************************​******************************​**********************
 HKEY ROOT CLASSIDS:
 ******************************​******************************​**********************
 Files Found are not all bad files:

 C:\WINDOWS\SYSTEM32\

efeba.dll      Mon 13 Mar 2006  14:00:56   A.SH.        577.588   564,05 K

ipsec6~1.dll   Tue 14 Mar 2006  23:26:52   A....         36.568    35,71 K

msvcp71.dll    Mon 13 Mar 2006  18:36:20   A....        499.712   488,00 K

msvcr71.dll    Mon 13 Mar 2006  18:36:20   A....        348.160   340,00 K

nnnkl.dll      Mon 13 Mar 2006  14:00:42   A.SH.         38.925    38,01 K

opnlk.dll      Sun 12 Mar 2006   7:48:32   A.SH.         38.925    38,01 K

pmnmj.dll      Mon 13 Mar 2006  14:33:48   A.SH.         38.925    38,01 K

vtsqo.dll      Mon 13 Mar 2006  18:33:14   A.SH.         38.925    38,01 K

vtuuu.dll      Mon 13 Mar 2006  14:41:58   A.SH.         38.925    38,01 K

 9 items found:  9 files (6 H/S), 0 directories.

Total of file sizes:  1.656.653 bytes      1,58 M
 Locate .tmp files:

 C:\WINDOWS\SYSTEM32\

abefe.tmp      Mon 13 Mar 2006  21:00:24   A.SH.        335.636   327,77 K

 1 item found:  1 file (1 H/S), 0 directories.

Total of file sizes:  335.636 bytes    327,77 K
 ******************************​******************************​**********************
 Directory Listing of system files:
 Le volume dans le lecteur C s'appelle Disque local
 Le num‚ro de s‚rie du volume est DCBD-426B

 R‚pertoire de C:\WINDOWS\System32

 17/03/2006  18:39           335.590 abefe.ini2
 15/03/2006  20:29    <REP>          Microsoft
 15/03/2006  19:57    <REP>          dllcache
 14/03/2006  16:27           380.741 abefe.bak2
 13/03/2006  21:00           335.636 abefe.tmp
 13/03/2006  21:00           335.636 abefe.ini
 13/03/2006  18:33            38.925 vtsqo.dll
 13/03/2006  14:41            38.925 vtuuu.dll
 13/03/2006  14:33            38.925 pmnmj.dll
 13/03/2006  14:02           380.235 abefe.bak1
 13/03/2006  14:00           577.588 efeba.dll
 13/03/2006  14:00            38.925 nnnkl.dll
 12/03/2006  07:48            38.925 opnlk.dll

11 fichier(s)        2.540.051 octets

2 R‚p(s)  11.911.983.104 octets libres

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 18:45:09  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Recolles un log hijackthis.

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 18:50:06  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Logfile of HijackThis v1.99.1
 Scan saved at 18:48:15, on 17/03/2006
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\explorer.exe
 C:\HijackThis.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
 O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.E​XE RUN
 O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe /STARTUP
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
 O16 - DPF: {644E432F-49D3-41A1-8DD5-E0991​62EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/s [...] /cabsa.cab
 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F​29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/a [...] asinst.cab
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll
 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
 O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
 O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
 O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EX​E
 O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
 O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.​exe (file missing)

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 18:55:38  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Supprime ce fichier en gras :
 C:\Windows\System32\efeba.dll

 Coches cs deux lignes :

 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll

 Fermes tes programmes en cours cliques sur FixCheckec.

 Recolles un log hijackthis.

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 19:27:18  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
je ne vois pas le fichier efeba.dll
 ni dans c:\windows\systeme32\
 ni ailleur!!!!!

 je suis en mode sans echec
 l'affichage des fichiers systemes est bien activé
 ???

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 19:38:56  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
-Télécharge : Pocket KillBox http://www.bleepingcomputer.co [...] illBox.zip
 Sélectionne ce texte :

 



C:\Windows\System32\efeba.dll




 Clic droit -> Copier.
 ---

 - Ouvres killbox.exe
 - Sélectionne "delete on reboot"
 - Clique sur "File" -> "Past from clip board"
 - Clique sur la croix rouge et et blanche
 - Répond par "yes et laisse redémarrer ton pc.
 ---

 Supprime ce dossier : C:\!KillBox

 vide ta corbeille

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 19:52:28  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Le pc ne redemare pas
 apres le decompte, j'ai le message
 pendingfilerename operations regestry data has been removed by external process

 je suis toujours en mode sans echec

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 20:01:21  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Dans C:\Killbox, il y a la dll remets la dans system32.

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 20:11:47  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
dans "c:\!killbox" je n'ai qu'un dossier "logs" avec dedans le fichier kb.txt
 l'executable de killbox est sur le bureau
 je ne vois nul part efeba.dll

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 21:13:30  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
tu pense quoi de la situation?

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 21:25:10  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ca te fait quoi quand tu démarres normal ?

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 22:51:24  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
j'ai redemare le pc en mode normal
 j'ai rebranche le cable internet
 j'ai utilise ie 5minutes
 je suis en train de scaner avec avg
 il n'a pas encore terminé mais a deja trouvé 6 trojans!!!
 j'ai debranche le pc du net et la vitesse du scan semble accelerer
 je vais finir par croire qu'il est ensorcele ;-)


pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 17/03/2006 à 23:11:18  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
voici les 8 trojans que avg a trouve a la fin du scan

 C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.dll
 PSW.Generic.TFU

 C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00004.dll
 PSW.Generic.TFT

 C:\WINDOWS\system32\ipsec6mon.​dll
 PSW.Agent.BBM

 C:\WINDOWS\system32\nnnkl.dll
 Downloader.Generic.TSJ

 C:\WINDOWS\system32\opnlk.dll
 Downloader.Generic.TSJ

 C:\WINDOWS\system32\pmnmj.dll
 Downloader.Generic.TSJ

 C:\WINDOWS\system32\vtsqo.dll
 Downloader.Generic.TSJ

 C:\WINDOWS\system32\vtuuu.dll
 Downloader.Generic.TSJ

 avg a reussi a les effaces
 le fire wall de xp est toujours indisponible
 des que je branche le cable de la connection internet j'ai toujours l'impression d'etre envahis par des trojans ou autres!!!
 la connection internet semble etre moins bloquee qu'avant

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 17/03/2006 à 23:17:17  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Lances l2mfix.bat.
 appuyer sur n'importe quelle touche puis choisir l'option #2 (et pas autre chose) et valider avec la touche entrée.
 Le bloc note va s'ouvrir avec le résultat du scan
 colle le ici
 ____

 colles ensuite un nouveau log hijackthis.

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 18/03/2006 à 00:00:12  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
L2mfix 010406
 Creating Account.
 La commande s'est termin‚e correctement.

 Adding Administrative privleges.
 Checking for L2MFix account(0=no 1=yes):
 1
 Granting SeDebugPrivilege to L2MFIX   ... successful
 
 Running From:
 C:\WINDOWS\system32
 
 Killing Processes!

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Killing PID 404 'smss.exe'
 Killing PID 404 'smss.exe'

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'
 Killing PID 2780 'explorer.exe'

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Error, Cannot find a process with an image name of rundll32.exe
 Restoring Sedebugprivilege:
 Granting SeDebugPrivilege to Administrateurs   ... successful
 
 Scanning First Pass. Please Wait!
 
 
 Running From:
 C:\WINDOWS\system32
 
 Killing Processes!

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Killing PID 408 'smss.exe'

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Killing PID 488 'winlogon.exe'
 Killing PID 488 'winlogon.exe'
 Killing PID 488 'winlogon.exe'
 Killing PID 488 'winlogon.exe'
 Killing PID 488 'winlogon.exe'
 Killing PID 488 'winlogon.exe'
 Killing PID 488 'winlogon.exe'
 Killing PID 488 'winlogon.exe'

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Killing PID 448 'explorer.exe'
 Killing PID 448 'explorer.exe'
 Killing PID 448 'explorer.exe'
 Killing PID 448 'explorer.exe'
 Killing PID 448 'explorer.exe'
 Killing PID 448 'explorer.exe'
 Killing PID 448 'explorer.exe'

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Error, Cannot find a process with an image name of rundll32.exe
 Restoring Sedebugprivilege:
 Granting SeDebugPrivilege to Administrateurs   ... successful
 
 Scanning First Pass. Please Wait!
 
 First Pass Completed
 
 Second Pass Scanning
 
 Second pass Completed!
 
 
 
 Restoring Windows Update Certificates.:
 
 The following Is the Current Export of the Winlogon notify key:
 ******************************​******************************​****************
 Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify]

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
 "Asynchronous"=dword:00000000
 "Impersonate"=dword:00000000
 "DllName"=hex(2):63,00,72,00,7​9,00,70,00,74,00,33,00,32,00,2​e,00,64,00,6c,00,\
  6c,00,00,00
 "Logoff"="ChainWlxLogoffEvent"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
 "Asynchronous"=dword:00000000
 "Impersonate"=dword:00000000
 "DllName"=hex(2):63,00,72,00,7​9,00,70,00,74,00,6e,00,65,00,7​4,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Logoff"="CryptnetWlxLogoffEve​nt"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
 "DLLName"="cscdll.dll"
 "Logon"="WinlogonLogonEvent"
 "Logoff"="WinlogonLogoffEvent"
 "ScreenSaver"="WinlogonScreenS​averEvent"
 "Startup"="WinlogonStartupEven​t"
 "Shutdown"="WinlogonShutdownEv​ent"
 "StartShell"="WinlogonStartShe​llEvent"
 "Impersonate"=dword:00000000
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\efeba]
 "Asynchronous"=dword:00000001
 "DllName"="C:\\WINDOWS\\System​32\\efeba.dll"
 "Impersonate"=dword:00000000
 "Startup"="SysLogon"
 "Logoff"="SysLogoff"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
 "DLLName"="wlnotify.dll"
 "Logon"="SCardStartCertProp"
 "Logoff"="SCardStopCertProp"
 "Lock"="SCardSuspendCertProp"
 "Unlock"="SCardResumeCertProp"
 "Enabled"=dword:00000001
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
 "Asynchronous"=dword:00000000
 "DllName"=hex(2):77,00,6c,00,6​e,00,6f,00,74,00,69,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Impersonate"=dword:00000000
 "StartShell"="SchedStartShell"
 "Logoff"="SchedEventLogOff"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
 "Logoff"="WLEventLogoff"
 "Impersonate"=dword:00000000
 "Asynchronous"=dword:00000001
 "DllName"=hex(2):73,00,63,00,6​c,00,67,00,6e,00,74,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
 "DLLName"="WlNotify.dll"
 "Lock"="SensLockEvent"
 "Logon"="SensLogonEvent"
 "Logoff"="SensLogoffEvent"
 "Safe"=dword:00000001
 "MaxWait"=dword:00000258
 "StartScreenSaver"="SensStartS​creenSaverEvent"
 "StopScreenSaver"="SensStopScr​eenSaverEvent"
 "Startup"="SensStartupEvent"
 "Shutdown"="SensShutdownEvent"
 "StartShell"="SensStartShellEv​ent"
 "PostShell"="SensPostShellEven​t"
 "Disconnect"="SensDisconnectEv​ent"
 "Reconnect"="SensReconnectEven​t"
 "Unlock"="SensUnlockEvent"
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
 "Asynchronous"=dword:00000000
 "DllName"=hex(2):77,00,6c,00,6​e,00,6f,00,74,00,69,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Impersonate"=dword:00000000
 "Logoff"="TSEventLogoff"
 "Logon"="TSEventLogon"
 "PostShell"="TSEventPostShell"
 "Shutdown"="TSEventShutdown"
 "StartShell"="TSEventStartShel​l"
 "Startup"="TSEventStartup"
 "MaxWait"=dword:00000258
 "Reconnect"="TSEventReconnect"
 "Disconnect"="TSEventDisconnec​t"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
 "DLLName"="wlnotify.dll"
 "Logon"="RegisterTicketExpired​NotificationEvent"
 "Logoff"="UnregisterTicketExpi​redNotificationEvent"
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 
 The following are the files found:
 ******************************​******************************​****************
 
 Registry Entries that were Deleted:
 Please verify that the listing looks ok.  
 If there was something deleted wrongly there are backups in the backreg folder.
 ******************************​******************************​****************
 REGEDIT4

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows\CurrentVersion​\Shell Extensions\Approved]
 REGEDIT4

 [-HKEY_LOCAL_MACHINE\SOFTWARE\M​icrosoft\Windows\CurrentVersio​n\Internet Settings\User Agent\Post Platform]
 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Internet Settings\User Agent\Post Platform]
 "SV1"=""
 ******************************​******************************​****************
 Desktop.ini Contents:
 ******************************​******************************​****************

 ******************************​******************************​****************
 Checking for L2MFix account(0=no 1=yes):
 0
 Zipping up files for submission:
  zip warning: name not matched: dlls\*.*

 zip error: Nothing to do! (backup.zip)
  adding: backregs/notibac.reg (164 bytes security) (deflated 87%)
  adding: backregs/shell.reg (164 bytes security) (deflated 74%)


 Logfile of HijackThis v1.99.1
 Scan saved at 23:57:33, on 17/03/2006
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\LEXBCES.EX​E
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\WINDOWS\system32\LEXPPS.EXE
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 C:\Program Files\ewido anti-malware\ewidoctrl.exe
 C:\Program Files\ewido anti-malware\ewidoguard.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\system32\wuauclt.ex​e
 C:\WINDOWS\Mixer.exe
 C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 C:\WINDOWS\System32\LXSUPMON.E​XE
 C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe
 C:\WINDOWS\system32\ctfmon.exe
 C:\Program Files\Messenger\msmsgs.exe
 C:\HijackThis.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
 O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.E​XE RUN
 O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe /STARTUP
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105​AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/s [...] vSniff.cab
 O16 - DPF: {644E432F-49D3-41A1-8DD5-E0991​62EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/s [...] /cabsa.cab
 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F​29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/a [...] asinst.cab
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll
 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
 O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
 O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
 O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EX​E
 O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
 O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.​exe (file missing)

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 18/03/2006 à 00:17:56  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
je viens de constater que efeba.dll
 est maintenant visible dans c:\windows\system32\ !!!!
 je suis certain que tantot il y apparaisait pas

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 18/03/2006 à 00:27:41  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Lance HijackThis => Do a sysytem scan only => coche ces lignes :

 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll

 Ensuite ferme tes programmes en cours (seul HijackThis doit être ouvert) et cliques sur "FixChecked".
 ____

 clique sur l2mfix.exe
 Dans le dossier l2mfix
 double clic sur l2mfix.bat
 appuyer sur n'importe quelle touche puis choisir l'option #1 (et pas autre chose) et valider avec la touche entrée.
 Le bloc note va s'ouvrir avec le résultat du scan
 colle le ici

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 18/03/2006 à 10:08:08  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
L2MFIX find log 010406
 These are the registry keys present
 ******************************​******************************​**********************
 Winlogon/notify:
 Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify]

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
 "Asynchronous"=dword:00000000
 "Impersonate"=dword:00000000
 "DllName"=hex(2):63,00,72,00,7​9,00,70,00,74,00,33,00,32,00,2​e,00,64,00,6c,00,\
  6c,00,00,00
 "Logoff"="ChainWlxLogoffEvent"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
 "Asynchronous"=dword:00000000
 "Impersonate"=dword:00000000
 "DllName"=hex(2):63,00,72,00,7​9,00,70,00,74,00,6e,00,65,00,7​4,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Logoff"="CryptnetWlxLogoffEve​nt"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
 "DLLName"="cscdll.dll"
 "Logon"="WinlogonLogonEvent"
 "Logoff"="WinlogonLogoffEvent"
 "ScreenSaver"="WinlogonScreenS​averEvent"
 "Startup"="WinlogonStartupEven​t"
 "Shutdown"="WinlogonShutdownEv​ent"
 "StartShell"="WinlogonStartShe​llEvent"
 "Impersonate"=dword:00000000
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\efeba]
 "Asynchronous"=dword:00000001
 "DllName"="C:\\WINDOWS\\System​32\\efeba.dll"
 "Impersonate"=dword:00000000
 "Startup"="SysLogon"
 "Logoff"="SysLogoff"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
 "DLLName"="wlnotify.dll"
 "Logon"="SCardStartCertProp"
 "Logoff"="SCardStopCertProp"
 "Lock"="SCardSuspendCertProp"
 "Unlock"="SCardResumeCertProp"
 "Enabled"=dword:00000001
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
 "Asynchronous"=dword:00000000
 "DllName"=hex(2):77,00,6c,00,6​e,00,6f,00,74,00,69,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Impersonate"=dword:00000000
 "StartShell"="SchedStartShell"
 "Logoff"="SchedEventLogOff"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
 "Logoff"="WLEventLogoff"
 "Impersonate"=dword:00000000
 "Asynchronous"=dword:00000001
 "DllName"=hex(2):73,00,63,00,6​c,00,67,00,6e,00,74,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
 "DLLName"="WlNotify.dll"
 "Lock"="SensLockEvent"
 "Logon"="SensLogonEvent"
 "Logoff"="SensLogoffEvent"
 "Safe"=dword:00000001
 "MaxWait"=dword:00000258
 "StartScreenSaver"="SensStartS​creenSaverEvent"
 "StopScreenSaver"="SensStopScr​eenSaverEvent"
 "Startup"="SensStartupEvent"
 "Shutdown"="SensShutdownEvent"
 "StartShell"="SensStartShellEv​ent"
 "PostShell"="SensPostShellEven​t"
 "Disconnect"="SensDisconnectEv​ent"
 "Reconnect"="SensReconnectEven​t"
 "Unlock"="SensUnlockEvent"
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
 "Asynchronous"=dword:00000000
 "DllName"=hex(2):77,00,6c,00,6​e,00,6f,00,74,00,69,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Impersonate"=dword:00000000
 "Logoff"="TSEventLogoff"
 "Logon"="TSEventLogon"
 "PostShell"="TSEventPostShell"
 "Shutdown"="TSEventShutdown"
 "StartShell"="TSEventStartShel​l"
 "Startup"="TSEventStartup"
 "MaxWait"=dword:00000258
 "Reconnect"="TSEventReconnect"
 "Disconnect"="TSEventDisconnec​t"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
 "DLLName"="wlnotify.dll"
 "Logon"="RegisterTicketExpired​NotificationEvent"
 "Logoff"="UnregisterTicketExpi​redNotificationEvent"
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 ******************************​******************************​**********************
 useragent:
 Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Internet Settings\User Agent\Post Platform]
 "SV1"=""

 ******************************​******************************​**********************
 Shell Extension key:
 Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Shell Extensions\Approved]
 "{00022613-0000-0000-C000-0000​00000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
 "{176d6597-26d3-11d1-b350-0800​36a75b03}"="Gestion de scanneur ICM"
 "{1F2E5C40-9550-11CE-99D2-00AA​006E086C}"="Page de s‚curit‚ NTFS"
 "{3EA48300-8CF6-101B-84FB-666C​CB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
 "{40dd6e20-7c17-11ce-a804-00aa​003ca9f6}"="Extensions de l'environnement pour le partage"
 "{41E300E0-78B6-11ce-849B-4445​53540000}"="PlusPack CPL Extension"
 "{42071712-76d4-11d1-8b24-00a0​c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
 "{42071713-76d4-11d1-8b24-00a0​c9068ff3}"="Extension Affichage cran du Panneau de configuration"
 "{42071714-76d4-11d1-8b24-00a0​c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
 "{4E40F770-369C-11d0-8922-00A0​24AB2DBB}"="Page de s‚curit‚ DS"
 "{513D916F-2A8E-4F51-AEAB-0CBC​76FB1AF8}"="Page de compatibilit‚"
 "{56117100-C0CD-101B-81E2-00AA​004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
 "{59099400-57FF-11CE-BD94-0020​AF85B590}"="Extension copie de disquette"
 "{59be4990-f85c-11ce-aff7-00aa​003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
 "{5DB2625A-54DF-11D0-B6C4-0800​091AA605}"="Gestion d'‚cran ICM"
 "{675F097E-4C4D-11D0-B6C1-0800​091AA605}"="Gestion d'imprimante ICM"
 "{764BF0E1-F219-11ce-972D-00AA​00A14F56}"="Extensions de l'environnement de compression de fichiers"
 "{77597368-7b15-11d0-a0c2-0800​36af3f03}"="Extension de l'environnement d'imprimante Web"
 "{7988B573-EC89-11cf-9C00-00AA​00A14F56}"="Disk Quota UI"
 "{853FE2B1-B769-11d0-9C4E-00C0​4FB6C6FA}"="Menu contextuel de cryptage"
 "{85BBD920-42A0-1069-A2E4-0800​2B30309D}"="Porte-documents"
 "{88895560-9AA2-1069-930E-00AA​0030EBC8}"="Extension ic“ne HyperTerminal"
 "{BD84B380-8CA2-1069-AB1D-0800​0948F534}"="Fonts"
 "{DBCE2480-C732-101B-BE72-BA78​E9AD5B27}"="Profil ICC"
 "{F37C5810-4D3F-11d0-B4BF-00AA​00BBB723}"="Page de s‚curit‚ des imprimantes"
 "{f81e9010-6ea4-11ce-a7ff-00aa​003ca9f6}"="Extensions de l'environnement pour le partage"
 "{f92e8c40-3d33-11d2-b1aa-0800​36a75b03}"="Display TroubleShoot CPL Extension"
 "{7444C717-39BF-11D1-8CD9-00C0​4FC29D45}"="Extension de cryptographie PKO"
 "{7444C719-39BF-11D1-8CD9-00C0​4FC29D45}"="Extension de cryptographie Sign"
 "{7007ACC7-3202-11D1-AAD2-0080​5FC1270E}"="Connexions r‚seau"
 "{992CFFA0-F557-101A-88EC-00DD​010CCC48}"="Connexions r‚seau"
 "{E211B736-43FD-11D1-9EFB-0000​F8757FCD}"="&Scanneurs et appareils photo"
 "{FB0C9C8A-6C50-11D1-9F1D-0000​F8757FCD}"="&Scanneurs et appareils photo"
 "{905667aa-acd6-11d2-8080-0080​5f6596d2}"="&Scanneurs et appareils photo"
 "{3F953603-1008-4f6e-A73A-04AA​C7A992F1}"="&Scanneurs et appareils photo"
 "{83bbcbf3-b28a-4919-a5aa-7302​7445d672}"="&Scanneurs et appareils photo"
 "{F0152790-D56E-4445-850E-4F31​17DB740C}"="Remote Sessions CPL Extension"
 "{5F327514-6C5E-4d60-8F16-D07F​A08A78ED}"="Auto Update Property Sheet Extension"
 "{60254CA5-953B-11CF-8C96-00AA​00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
 "{2206CDB2-19C1-11D1-89E0-00C0​4FD7A829}"="Liaison de donn‚es Microsoft"
 "{DD2110F0-9EEF-11cf-8D8E-00AA​0060F5BF}"="Tasks Folder Icon Handler"
 "{797F1E90-9EDD-11cf-8D8E-00AA​0060F5BF}"="Tasks Folder Shell Extension"
 "{D6277990-4C6A-11CF-8D87-00AA​0060F5BF}"="Tƒches planifi‚es"
 "{0DF44EAA-FF21-4412-828E-260A​8728E7F1}"="Barre des tƒches et menu D‚marrer"
 "{2559a1f0-21d7-11d4-bdaf-00c0​4f60b9f0}"="Rechercher"
 "{2559a1f1-21d7-11d4-bdaf-00c0​4f60b9f0}"="Aide et support"
 "{2559a1f2-21d7-11d4-bdaf-00c0​4f60b9f0}"="Aide et support"
 "{2559a1f3-21d7-11d4-bdaf-00c0​4f60b9f0}"="Ex‚cuter..."
 "{2559a1f4-21d7-11d4-bdaf-00c0​4f60b9f0}"="Internet"
 "{2559a1f5-21d7-11d4-bdaf-00c0​4f60b9f0}"="Courrier ‚lectronique"
 "{D20EA4E1-3957-11d2-A40B-0C50​20524152}"="Polices"
 "{D20EA4E1-3957-11d2-A40B-0C50​20524153}"="Outils d'administration"
 "{875CB1A1-0F29-45de-A1AE-CFB4​950D0B78}"="Audio Media Properties Handler"
 "{40C3D757-D6E4-4b49-BB41-0E5B​BEA28817}"="Video Media Properties Handler"
 "{E4B29F9D-D390-480b-92FD-7DDB​47101D71}"="Wav Properties Handler"
 "{87D62D94-71B3-4b9a-9489-5FE6​850DC73E}"="Avi Properties Handler"
 "{A6FD9E45-6E44-43f9-8644-0859​8F5A74D9}"="Midi Properties Handler"
 "{c5a40261-cd64-4ccf-84cb-c394​da41d590}"="Video Thumbnail Extractor"
 "{5E6AB780-7743-11CF-A12B-00AA​004AE837}"="Barre d'outils Internet Microsoft"
 "{22BF0C20-6DA7-11D0-B373-00A0​C9034938}"="tat du t‚l‚chargement"
 "{91EA3F8B-C99B-11d0-9815-00C0​4FD91972}"="Dossier Bureau ‚tendu"
 "{6413BA2C-B461-11d1-A18A-0800​36B11A03}"="Dossier du shell augment‚"
 "{F61FFEC1-754F-11d0-80CA-00AA​005B4383}"="BandProxy"
 "{7BA4C742-9E81-11CF-99D3-00AA​004AE837}"="Bande du navigateur Microsoft"
 "{30D02401-6A81-11d0-8274-00C0​4FD5AE38}"="Bande de recherche"
 "{32683183-48a0-441b-a342-7c2a​440a9478}"="Media Band"
 "{169A0691-8DF9-11d1-A1C4-00C0​4FD75D13}"="Volet int‚gr‚ de recherche"
 "{07798131-AF23-11d1-9111-00A0​C98BA67D}"="Recherche Web"
 "{AF4F6510-F982-11d0-8595-00AA​004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
 "{01E04581-4EEE-11d0-BFE9-00AA​005B4383}"="&Adresse"
 "{A08C11D2-A228-11d0-825B-00AA​005B4383}"="BoŒte d'entr‚e de l'adresse"
 "{00BB2763-6A77-11D0-A535-00C0​4FD7D062}"="Saisie semi-automatique Microsoft"
 "{7376D660-C583-11d0-A3A5-00C0​4FD706EC}"="TridentImageExtrac​tor"
 "{6756A641-DE71-11d0-831B-00AA​005B4383}"="Liste de saisie semi-automatique MRU"
 "{6935DB93-21E8-4ccc-BEB9-9FE3​C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
 "{7e653215-fa25-46bd-a339-34a2​790f3cb7}"="Accessible"
 "{acf35015-526e-4230-9596-becb​e19f0ac9}"="Barre de progrŠs auto-ouvrante"
 "{E0E11A09-5CB8-4B6C-8332-E007​20A168F2}"="Analyseur de la barre d'adresses"
 "{00BB2764-6A77-11D0-A535-00C0​4FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
 "{03C036F1-A186-11D0-824A-00AA​005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
 "{00BB2765-6A77-11D0-A535-00C0​4FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
 "{ECD4FC4E-521C-11D0-B792-00A0​C90312E1}"="Menu Site de bandes"
 "{3CCF8A41-5C85-11d0-9796-00AA​00B90ADF}"="Shell DeskBarApp"
 "{ECD4FC4C-521C-11D0-B792-00A0​C90312E1}"="Barre du Bureau"
 "{ECD4FC4D-521C-11D0-B792-00A0​C90312E1}"="Shell Rebar BandSite"
 "{DD313E04-FEFF-11d1-8ECD-0000​F87A470C}"="Assistance utilisateur"
 "{EF8AD2D1-AE36-11D1-B2D2-0060​97DF8C11}"="ParamŠtres du dossier global"
 "{EFA24E61-B078-11d0-89E4-00C0​4FC9E26E}"="Favorites Band"
 "{0A89A860-D7B1-11CE-8350-4445​53540000}"="Shell Automation Inproc Service"
 "{E7E4BC40-E76A-11CE-A9BB-00AA​004AE837}"="Shell DocObject Viewer"
 "{A5E46E3A-8849-11D1-9D8C-00C0​4FC99D61}"="Microsoft Browser Architecture"
 "{FBF23B40-E3F0-101B-8488-00AA​003E56F8}"="InternetShortcut"
 "{3C374A40-BAE4-11CF-BF7D-00AA​006946EE}"="Microsoft Url History Service"
 "{FF393560-C2A7-11CF-BFF4-4445​53540000}"="Historique"
 "{7BD29E00-76C1-11CF-9DD0-00A0​C9034933}"="Temporary Internet Files"
 "{7BD29E01-76C1-11CF-9DD0-00A0​C9034933}"="Temporary Internet Files"
 "{CFBFAE00-17A6-11D0-99CB-00C0​4FD64497}"="Microsoft Url Search Hook"
 "{A2B0DD40-CC59-11d0-A3A5-00C0​4FD706EC}"="Image de d‚marrage de la Suite IE4"
 "{67EA19A0-CCEF-11d0-8024-00C0​4FD75D13}"="CDF Extension Copy Hook"
 "{131A6951-7F78-11D0-A979-00C0​4FD705A2}"="ISFBand OC"
 "{9461b922-3c5a-11d2-bf8b-00c0​4fb93661}"="Search Assistant OC"
 "{3DC7A020-0ACD-11CF-A9BB-00AA​004AE837}"="Internet"
 "{871C5380-42A0-1069-A2EA-0800​2B30309D}"="Internet Name Space"
 "{EFA24E64-B078-11d0-89E4-00C0​4FC9E26E}"="Explorer Band"
 "{9E56BE60-C50F-11CF-9A2C-00A0​C90A90CE}"="Sendmail service"
 "{9E56BE61-C50F-11CF-9A2C-00A0​C90A90CE}"="Sendmail service"
 "{88C6C381-2E85-11D0-94DE-4445​53540000}"="Dossier ActiveX Cache"
 "{E6FB5E20-DE35-11CF-9C87-00AA​005127ED}"="WebCheck"
 "{ABBE31D0-6DAE-11D0-BECA-00C0​4FD940BE}"="Subscription Mgr"
 "{F5175861-2688-11d0-9C5E-00AA​00A45957}"="Dossier Inscription"
 "{08165EA0-E946-11CF-9C87-00AA​005127ED}"="WebCheckWebCrawler​"
 "{E3A8BDE6-ABCE-11d0-BC4B-00C0​4FD929DB}"="WebCheckChannelAge​nt"
 "{E8BB6DC0-6B4E-11d0-92DB-00A0​C90C2BD7}"="TrayAgent"
 "{7D559C10-9FE9-11d0-93F7-00AA​0059CE02}"="Code Download Agent"
 "{E6CC6978-6B6E-11D0-BECA-00C0​4FD940BE}"="ConnectionAgent"
 "{D8BD2030-6FC9-11D0-864F-00AA​006809D9}"="PostAgent"
 "{7FC0B86E-5FA7-11d1-BC7C-00C0​4FD929DB}"="WebCheck SyncMgr Handler"
 "{352EC2B7-8B9A-11D1-B8AE-0060​08059382}"="Gestionnaire d'applications d'environnement"
 "{0B124F8F-91F0-11D1-B8B5-0060​08059382}"="num‚rateur d'applications install‚es"
 "{CFCCC7A0-A282-11D1-9082-0060​08059382}"="Publication d'application Darwin"
 "{e84fda7c-1d6a-45f6-b725-cb26​0c236066}"="Shell Image Verbs"
 "{66e4e4fb-f385-4dd0-8d74-a2ef​d1bc6178}"="Shell Image Data Factory"
 "{3F30C968-480A-4C6C-862D-EFC0​897BB84B}"="Extracteur de miniatures de fichier + GDI"
 "{9DBD2C50-62AD-11d0-B806-00C0​4FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
 "{EAB841A0-9550-11cf-8C16-0080​5F1408F3}"="Extracteur de miniatures HTML"
 "{eb9b1153-3b57-4e68-959a-a326​6bc3d7fe}"="Shell Image Property Handler"
 "{CC6EEFFB-43F6-46c5-9619-51D5​71967F7D}"="Assistant Publication de sites Web"
 "{add36aa8-751a-4579-a266-d66f​5202ccbb}"="Commande d'impressions via le Web"
 "{6b33163c-76a5-4b6c-bf21-45de​9cd503a1}"="Objet Assistant de publication Shell"
 "{58f1f272-9240-4f51-b6d4-fd63​d1618591}"="Assistant Obtenir une identit‚ Passport"
 "{7A9D77BD-5403-11d2-8785-2E04​20524153}"="Comptes d'utilisateurs"
 "{BD472F60-27FA-11cf-B8B4-4445​53540000}"="Compressed (zipped) Folder Right Drag Handler"
 "{888DCA60-FC0A-11CF-8F0F-00C0​4FD7D062}"="Compressed (zipped) Folder SendTo Target"
 "{63da6ec0-2e98-11cf-8d82-4445​53540000}"="FTP Folders Webview"
 "{883373C3-BF89-11D1-BE35-0800​36B11A03}"="Microsoft DocProp Shell Ext"
 "{A9CF0EAE-901A-4739-A481-E35B​73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
 "{8EE97210-FD1F-4B19-91DA-6791​4005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
 "{0EEA25CC-4362-4A12-850B-86EE​61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
 "{6A205B57-2567-4A2C-B881-F787​FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
 "{28F8A4AC-BBB3-4D9B-B177-82BF​C914FA33}"="Microsoft DocProp Inplace Time Control"
 "{8A23E65E-31C2-11d0-891C-00A0​24AB2DBB}"="Directory Query UI"
 "{9E51E0D0-6E0F-11d2-9601-00C0​4FA31A86}"="Shell properties for a DS object"
 "{163FDC20-2ABC-11d0-88F0-00A0​24AB2DBB}"="Directory Object Find"
 "{F020E586-5264-11d1-A532-0000​F8757D7E}"="Directory Start/Search Find"
 "{0D45D530-764B-11d0-A1CA-00AA​00C16E65}"="Directory Property UI"
 "{62AE1F9A-126A-11D0-A14B-0800​361B1103}"="Directory Context Menu Verbs"
 "{ECF03A33-103D-11d2-854D-0060​08059367}"="MyDocs Copy Hook"
 "{ECF03A32-103D-11d2-854D-0060​08059367}"="MyDocs Drop Target"
 "{4a7ded0a-ad25-11d0-98a8-0800​361b1103}"="MyDocs Properties"
 "{750fdf0e-2a26-11d1-a3ea-0800​36587f03}"="Offline Files Menu"
 "{10CFC467-4392-11d2-8DB4-00C0​4FA31A66}"="Offline Files Folder Options"
 "{AFDB1F70-2A4C-11d2-9039-00C0​4F8EEB3E}"="Dossier Fichiers hors connexion"
 "{143A62C8-C33B-11D1-84FE-00C0​4FA34A14}"="Microsoft Agent Character Property Sheet Handler"
 "{ECCDF543-45CC-11CE-B9BF-0080​C87CDBA6}"="DfsShell"
 "{60fd46de-f830-4894-a628-6fa8​1bc0190d}"="%DESC_PublishDropT​arget%"
 "{7A80E4A8-8005-11D2-BCF8-00C0​4F72C717}"="MMC Icon Handler"
 "{0CD7A5C0-9F37-11CE-AE65-0800​2B2E1262}"=".CAB file viewer"
 "{32714800-2E5F-11d0-8B85-00AA​0044F941}"="Des &personnes..."
 "{8DD448E6-C188-4aed-AF92-4495​6194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
 "{CE3FB1D1-02AE-4a5f-A6E9-D9F1​B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
 "{F1B9284F-E9DC-4e68-9D7E-4236​2A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
 "{9F97547E-4609-42C5-AE0C-81C6​1FFAEBC3}"="AVG7 Shell Extension"
 "{9F97547E-460A-42C5-AE0C-81C6​1FFAEBC3}"="AVG7 Find Extension"
 "{f39a0dc0-9cc8-11d0-a599-00c0​4fd64433}"="Fichier de chaŒne"
 "{f3aa0dc0-9cc8-11d0-a599-00c0​4fd64434}"="Raccourci de chaŒne"
 "{f3ba0dc0-9cc8-11d0-a599-00c0​4fd64435}"="Channel Handler Object"
 "{f3da0dc0-9cc8-11d0-a599-00c0​4fd64437}"="Channel Menu"
 "{f3ea0dc0-9cc8-11d0-a599-00c0​4fd64438}"="Channel Properties"
 "{2559a1f7-21d7-11d4-bdaf-00c0​4f60b9f0}"="Set Program Access and Defaults"
 "{596AB062-B4D2-4215-9F74-E910​9B0A8153}"="Previous Versions Property Page"
 "{9DB7A13C-F208-4981-8353-73CC​61AE2783}"="Previous Versions"
 "{692F0339-CBAA-47e6-B5B5-3B84​DB604E87}"="Extensions Manager Folder"

 ******************************​******************************​**********************
 HKEY ROOT CLASSIDS:
 ******************************​******************************​**********************
 Files Found are not all bad files:

 C:\WINDOWS\SYSTEM32\

efeba.dll      Mon 13 Mar 2006  14:00:56   .....        577.588   564,05 K

msvcp71.dll    Mon 13 Mar 2006  18:36:20   A....        499.712   488,00 K

msvcr71.dll    Mon 13 Mar 2006  18:36:20   A....        348.160   340,00 K

 3 items found:  3 files, 0 directories.

Total of file sizes:  1.425.460 bytes      1,36 M
 Locate .tmp files:

 C:\WINDOWS\SYSTEM32\

abefe.tmp      Mon 13 Mar 2006  21:00:24   A.SH.        335.636   327,77 K

mcrh.tmp       Fri 17 Mar 2006  21:57:08   A....            335     0,32 K

 2 items found:  2 files (1 H/S), 0 directories.

Total of file sizes:  335.971 bytes    328,09 K
 ******************************​******************************​**********************
 Directory Listing of system files:
 Le volume dans le lecteur C s'appelle Disque local
 Le num‚ro de s‚rie du volume est DCBD-426B

 R‚pertoire de C:\WINDOWS\System32

 18/03/2006  10:04           335.558 abefe.ini2
 17/03/2006  21:59           393.097 abefe.bak2
 15/03/2006  20:29    <REP>          Microsoft
 15/03/2006  19:57    <REP>          dllcache
 13/03/2006  21:00           335.636 abefe.tmp
 13/03/2006  21:00           335.636 abefe.ini
 13/03/2006  14:02           380.235 abefe.bak1

5 fichier(s)        1.780.162 octets

2 R‚p(s)  11.713.769.472 octets libres

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 18/03/2006 à 10:57:45  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Lances l2mfix.bat.
 appuyer sur n'importe quelle touche puis choisir l'option #2 (et pas autre chose) et valider avec la touche entrée.
 Le bloc note va s'ouvrir avec le résultat du scan
 colle le ici
 ____

 ENSUIRE colles un nouveau log hijackthis.

pbs
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 18/03/2006 à 11:32:09  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Voici le log de l2mfix avec l'option 2
 L2mfix 010406
 Creating Account.
 La commande s'est termin‚e correctement.

 Adding Administrative privleges.
 Checking for L2MFix account(0=no 1=yes):
 1
 Granting SeDebugPrivilege to L2MFIX   ... successful
 
 Running From:
 C:\WINDOWS\system32
 
 Killing Processes!

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Killing PID 404 'smss.exe'
 Killing PID 404 'smss.exe'

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'
 Killing PID 484 'winlogon.exe'

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Killing PID 420 'explorer.exe'
 Killing PID 420 'explorer.exe'
 Killing PID 420 'explorer.exe'

 Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
 Error, Cannot find a process with an image name of rundll32.exe
 Restoring Sedebugprivilege:
 Granting SeDebugPrivilege to Administrateurs   ... successful
 
 Scanning First Pass. Please Wait!
 
 First Pass Completed
 
 Second Pass Scanning
 
 Second pass Completed!
 
 
 
 Restoring Windows Update Certificates.:
 
 The following Is the Current Export of the Winlogon notify key:
 ******************************​******************************​****************
 Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify]

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
 "Asynchronous"=dword:00000000
 "Impersonate"=dword:00000000
 "DllName"=hex(2):63,00,72,00,7​9,00,70,00,74,00,33,00,32,00,2​e,00,64,00,6c,00,\
  6c,00,00,00
 "Logoff"="ChainWlxLogoffEvent"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
 "Asynchronous"=dword:00000000
 "Impersonate"=dword:00000000
 "DllName"=hex(2):63,00,72,00,7​9,00,70,00,74,00,6e,00,65,00,7​4,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Logoff"="CryptnetWlxLogoffEve​nt"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
 "DLLName"="cscdll.dll"
 "Logon"="WinlogonLogonEvent"
 "Logoff"="WinlogonLogoffEvent"
 "ScreenSaver"="WinlogonScreenS​averEvent"
 "Startup"="WinlogonStartupEven​t"
 "Shutdown"="WinlogonShutdownEv​ent"
 "StartShell"="WinlogonStartShe​llEvent"
 "Impersonate"=dword:00000000
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\efeba]
 "Asynchronous"=dword:00000001
 "DllName"="C:\\WINDOWS\\System​32\\efeba.dll"
 "Impersonate"=dword:00000000
 "Startup"="SysLogon"
 "Logoff"="SysLogoff"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
 "DLLName"="wlnotify.dll"
 "Logon"="SCardStartCertProp"
 "Logoff"="SCardStopCertProp"
 "Lock"="SCardSuspendCertProp"
 "Unlock"="SCardResumeCertProp"
 "Enabled"=dword:00000001
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
 "Asynchronous"=dword:00000000
 "DllName"=hex(2):77,00,6c,00,6​e,00,6f,00,74,00,69,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Impersonate"=dword:00000000
 "StartShell"="SchedStartShell"
 "Logoff"="SchedEventLogOff"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
 "Logoff"="WLEventLogoff"
 "Impersonate"=dword:00000000
 "Asynchronous"=dword:00000001
 "DllName"=hex(2):73,00,63,00,6​c,00,67,00,6e,00,74,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
 "DLLName"="WlNotify.dll"
 "Lock"="SensLockEvent"
 "Logon"="SensLogonEvent"
 "Logoff"="SensLogoffEvent"
 "Safe"=dword:00000001
 "MaxWait"=dword:00000258
 "StartScreenSaver"="SensStartS​creenSaverEvent"
 "StopScreenSaver"="SensStopScr​eenSaverEvent"
 "Startup"="SensStartupEvent"
 "Shutdown"="SensShutdownEvent"
 "StartShell"="SensStartShellEv​ent"
 "PostShell"="SensPostShellEven​t"
 "Disconnect"="SensDisconnectEv​ent"
 "Reconnect"="SensReconnectEven​t"
 "Unlock"="SensUnlockEvent"
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
 "Asynchronous"=dword:00000000
 "DllName"=hex(2):77,00,6c,00,6​e,00,6f,00,74,00,69,00,66,00,7​9,00,2e,00,64,00,\
  6c,00,6c,00,00,00
 "Impersonate"=dword:00000000
 "Logoff"="TSEventLogoff"
 "Logon"="TSEventLogon"
 "PostShell"="TSEventPostShell"
 "Shutdown"="TSEventShutdown"
 "StartShell"="TSEventStartShel​l"
 "Startup"="TSEventStartup"
 "MaxWait"=dword:00000258
 "Reconnect"="TSEventReconnect"
 "Disconnect"="TSEventDisconnec​t"

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
 "DLLName"="wlnotify.dll"
 "Logon"="RegisterTicketExpired​NotificationEvent"
 "Logoff"="UnregisterTicketExpi​redNotificationEvent"
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001

 
 The following are the files found:
 ******************************​******************************​****************
 
 Registry Entries that were Deleted:
 Please verify that the listing looks ok.  
 If there was something deleted wrongly there are backups in the backreg folder.
 ******************************​******************************​****************
 REGEDIT4

 [HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows\CurrentVersion​\Shell Extensions\Approved]
 REGEDIT4

 [-HKEY_LOCAL_MACHINE\SOFTWARE\M​icrosoft\Windows\CurrentVersio​n\Internet Settings\User Agent\Post Platform]
 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Internet Settings\User Agent\Post Platform]
 "SV1"=""
 ******************************​******************************​****************
 Desktop.ini Contents:
 ******************************​******************************​****************
 ******************************​******************************​****************
 Checking for L2MFix account(0=no 1=yes):
 0
 Zipping up files for submission:
  zip warning: name not matched: dlls\*.*

 zip error: Nothing to do! (backup.zip)
  adding: backregs/notibac.reg (164 bytes security) (deflated 87%)
  adding: backregs/shell.reg (164 bytes security) (deflated 74%)

 suivit d'un log de hijackthis

 Logfile of HijackThis v1.99.1
 Scan saved at 11:27:43, on 18/03/2006
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\LEXBCES.EX​E
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\WINDOWS\system32\LEXPPS.EXE
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 C:\Program Files\ewido anti-malware\ewidoctrl.exe
 C:\Program Files\ewido anti-malware\ewidoguard.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\system32\wuauclt.ex​e
 C:\WINDOWS\Mixer.exe
 C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 C:\WINDOWS\System32\LXSUPMON.E​XE
 C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe
 C:\WINDOWS\system32\ctfmon.exe
 C:\Program Files\Messenger\msmsgs.exe
 C:\HijackThis.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
 O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv​ers\w32x86\3\hpztsb04.exe
 O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.E​XE RUN
 O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe /STARTUP
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105​AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/s [...] vSniff.cab
 O16 - DPF: {644E432F-49D3-41A1-8DD5-E0991​62EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/s [...] /cabsa.cab
 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F​29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/a [...] asinst.cab
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll
 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
 O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
 O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
 O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EX​E
 O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
 O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.​exe (file missing)

rub_mic
Habitué (de 5 000 à 9 999 messages postés)
  1. Posté le 18/03/2006 à 11:59:03  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Lance HijackThis => Do a sysytem scan only => coche ces lignes :

 O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B670​85CC199} - C:\WINDOWS\System32\efeba.dll
 O20 - Winlogon Notify: efeba - C:\WINDOWS\System32\efeba.dll
 O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
 O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.​exe (file missing)

 Ensuite ferme tes programmes en cours (seul HijackThis doit être ouvert) et cliques sur "FixChecked".

 Télécharge SpySweeper
 http://www.webroot.com/shoppin [...] d2aea3db74

 Installe le programme. Une fois installé, Lances le.
 Mets le a jour.
 Options sur la gauche
 Ensuite cliques sur l'onglet "Sweep Options"
 Sous What to Sweep tu coches les options suivantes :

 Sweep Memory
 Sweep Registry
 Sweep Cookies
 Sweep All User Accounts
 Enable Direct Disk Sweeping
 Sweep Contents of Compressed Files
 Sweep for Rootkits
 Décoche Do not Sweep System Restore Folder

 Clique sur Sweep Now sur la gauche
 Clique sur Start
 Quand le scan est terminé, clique sur Next
 Assure toi que tous les items sont cochés, puis clique sur Next
 Tous les items cochés seront éliminés
 Si SpySweeper veut redémarrer pour terminer le nettoyage : ACCEPTE
 Clique Session Log en haut à droite, et copie tout ce qu'il y a dans la fenêtre
 Clique sur l'onglet Summary, puis clique sur Finish
 Colle enfin le contenu de "session log" ici

 Page :
1  2
Dernière Page
Page Suivante
Page Précédente
Première Page

Aller à :
 

Sujets relatifs
virus?AeLLsaver. Problème de virus
Virus Introuvable ! Infection windows 2000 : System32? bibliothèque de liaison?Trojan?...
Virus HTML/ExpKit.Gen3 Infection malware ou virus
nettoyage de virus trop decapant? impossible de supprimer trojan agent
Virus ralenti mon ordi, Help. Sécurité virus
Plus de sujets relatifs à : virus et trojan difficile a supprimer [Résolu]

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
virus, trojan...je ne sais pas ce que c'est... 1
message d'erreur au démarrage 8
spyware adware virtumonde 1
rapport HijackThis suite à problème installation antivirus 1
esr-ce norton qui m'averti? 6