zone alarm version 5 et 6 - Logiciels::Logiciels divers

Auteur

Message

1 2

YLG

Posté le 15/09/2005 14:49:37

Alors que tout fonctionnait au poil avec la version 5 et sa dernière maj j'ai reçu l'invite de mise à jour pour la version 6 et après l'avoir installé plus moyen de passer sur le web et gros bordel . Après de vaines tentative j'ai tout désinstallé et depuis seul la version 3.195 (ou quelque chose comme cela )veux bien s'installer et fonctionner . Systématiquement on me répond que le fichier "vsutil.dll" ( vss et protection) ne peut pas être touvé et donc que le chemin d'installation non plus . Ceci ni pour la version 5, ni pour la version 6 !!! Que faire ?

Je suis au désespoir .... merci de vos réponses et de votre coup de main !

YLG

jean-chretien1

Posté le 15/09/2005 15:07:29

Salut,

tente peut etre par ici http://www.dll-files.com/dllindex/dll-files.shtml?vsutil

YLG

Posté le 16/09/2005 00:30:23

jean-chretien1 a écrit :

Salut,

tente peut etre par ici http://www.dll-files.com/dllindex/dll-files.shtml?vsutil

OK merci j'essai cela et on va bien voir

@ + YLG

YLG

Posté le 16/09/2005 01:07:27

jean-chretien1 a écrit :

Salut,

tente peut etre par ici http://www.dll-files.com/dllindex/dll-files.shtml?vsutil

ouais ben non ça marche pas !
je suis sous XP SP2, avec Kaspersky personal V.05,microsoft anti-spyware version beta ( qui m'a bloqué "trojan.killreg trojan" et "adware.blockchecker adware" et les a supprimé ce soir ),adware SE de lavasoft et spybot & destroy !
tout ce ptit monde faisait bon ménage mais rien a fiche maintenant seule la version 3 de ZA veut bien s'installer et fonctionner !

Quand j'essai de reinstaller ZA ,je désactive l'ancienne version pourtant , le pare feu de windows est inactif et même en désactivant l'antivirus et antispyware de microsoft, rien à faire !

As-tu autre chose à proposer ?

D'avance merci YLG

jean-chretien1

Posté le 16/09/2005 12:34:34

Salut,

tu l'as mise ou cette dll ?

YLG

Posté le 16/09/2005 13:16:18

jean-chretien1 a écrit :

Salut,

tu l'as mise ou cette dll ?

ben dans la directory windows, du moins c'est là qu'ils conseillent de la mettre quand tu télécharge la dll ..?!!
Sinon où ?
Au fait il y a MSN aussi sur le PC, ça aurait-y qq chose à voir ?

@+ YLG

jean-chretien1

Posté le 16/09/2005 14:29:59

oui apparemment la dedans C:\WINDOWS\System32\vsutil.dll

Bon, sinon tu as essayé de tout désinstaller-réinstaller, en commençant par désactiver le service ZA, le processus, puis supprimer tous les répertoires, et enfin nettoyage de registre ?

YLG

Posté le 16/09/2005 23:01:23

jean-chretien1 a écrit :

j'avais déjà fait cela mais peut-être pas tout cela : je ré-essaye de nouveau et on verra bien @+ YLG

YLG

Posté le 17/09/2005 00:24:16

Ouais bof ! maintenant à l'essai de l'install de la version 6 de ZA j'ai un message qui me dit que " le True Vector ne peut être désactivé et qu'il faut utiliser le gestionnaire de service pour fermer True Vector"

mais il est où ce gestionnaire de services ? est-ce qu'il faut passer par msconfig ou quoi ? il n'y a que là que je trouve quelque chose relatif à True Vector .

un autre message est apparu aussi relatif à vsmon.exe au sujet d'un MapEnumEntries qu'il ne trouverait pas .... !!! ???

enfin faut-il aussi supprimer le dossier Zone Labs dans Windows/system32/ZoneLabs où est installé "vsutil.dll"

Quel foutoir jtejure !!

D'avance merci pour tes réponses YLG

-->Message édité par YLG le 17/09/2005 00:31:09<--

jean-chretien1

Posté le 17/09/2005 00:28:13

Salut,

ça doit etre quelque chose dans le genre :

vas dans démarrer, clique sur "exécuter", tapes :
services.msc
"ok"
Dans la liste des services, cherche et double-clique sur la ligne :
TrueVector Internet Monitor (vsmon)
vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe"
dans "Type de démarrage",
clique sur "désactiver"
"Appliquer"/"ok"

YLG

Posté le 17/09/2005 01:15:32

bon, alors y a du mieux mais ça dure pas longtemps !!!

j'ai bien désactivé true vector et lors du tout début de l'install une fenêtre apparait et pose la question :"zonelabs true vector service: this is a security check....etc.... je choisis oui "
et il se produit une "erreur" dont la signature est la suivante:

AppName: glb9.tmp AppVer : 6.0.667.0 ModName: Kernel32.dll

ModVer: 5.1.2600.2180 Offset 0001.b33

Pour régler le démarrage de windows j'ai monté il y a quelques temps déjà un logiciel nommé "Code Staff Starter" , mais j'ai beau activer ou désactiver la prise en charge du démarrage de ZA ça change rien au problème !

Problème avec Kernel 32.dll ?

Que faire ? @ + YLG

jean-chretien1

Posté le 17/09/2005 01:32:35

je ne sais pas quoi te dire...

"zonelabs true vector service: this is a security check....etc

ç'aurait été bien de voir le message entier.

Tu peux poster un rapport HijackThis, juste par curiosité ?

Téléchargement : http://www.merijn.org/files/hijackthis.zip
consignes : http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm

lenclume

le gogol de l'informatique.!

Posté le 20/09/2005 17:56:35

Bonjour,

J'ai le même problème.
Après avoir trafiqué dans le menu démarrer, ZA s'est éffacé et je me retrouve avec ce message (qui revient constament.!.) True Vector Service a rencontré un pb et va fermer.
J'ai l'Antispyware de microsoft, mais je n'ai pas tous ces logiciels cités dans vos messages.!!

merci pour l'aide.

YLG

Posté le 22/09/2005 18:26:53

jean-chretien1 a écrit :

je ne sais pas quoi te dire...

Bon voilà le rapport de Hijakckthis d'aujourd'hui

Depuis mon dernier message je peux recevoir et envoyer des messages via Outlook Express, je peux aussi
consulter quelques pages sur un site quelconque, mais au bout de 2 à 3 mn je ne peux plus consulter d'autres sites ou d'autres pages dans un site, la recherche semble se faire mais échoue alors à chaque fois, et il faut que je re-éteigne tout pour pouvoir me reconnecter et reprendre durant quelques mn la lecture de page de site internet. voilà où j'en suis.

Sur ce rapport la ligne R1 m'intrigue : je ne sais pas à quoi elle correspond et ce n'est pas la page principale d'accès à internet qui est celle de microsoft normalement ( en standard dans les adresses proposées j'imagine )

Que dois-je supprimer et comment faire , précaution à prendre, c'est pas bien clair tout ça !

Je n'ai pas réussi à réinstaller ZA 06 , aussi suis-je passé provisoirement à Kerio Personnal Firewall !

D'avance merci pour ta réponse
j'espère que je vais pouvoir coller tout ça sur le forum @ + YLG

Logfile of HijackThis v1.99.1
Scan saved at 17:51:07, on 22/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.betyqvgrdumlxsaslgsumodg.net/I_N51_S8L4MBB/SbRmyiFt7BSQbeEN2V2j3Z6(...)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/servlet/helplinks?id=english7
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {30FE315C-E447-7F91-8723-17557EA52849} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MagsSpamErrorSave] C:\Documents and Settings\All Users\Application Data\jump eq mags spam\DVDBLUE.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Raccourci vers EPHY32.lnk = C:\ephy\EPHY32.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

jean-chretien1

Posté le 22/09/2005 18:36:52

Salut,

il y a des traces d'infection. On va s'en occuper mais d'abord deux questions :

1/ As-tu désinstallé la "Google Toolbar" ?
Dans tous les cas, est-ce que tu vois ce fichier en gras
c:\program files\google\googletoolbar2.dll

2/ Vas sur ce site http://virusscan.jotti.org/
Colle dans la case à gauche de parcourir :
C:\ephy\EPHY32.EXE
clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse.
Si tu sais ce que c'est, dis moi à quoi ça correspond.

YLG

Posté le 22/09/2005 19:25:14

jean-chretien1 a écrit :

Salut,

il y a des traces d'infection. On va s'en occuper mais d'abord deux questions :

1/ As-tu désinstallé la "Google Toolbar" ? ---> NON
Dans tous les cas, est-ce que tu vois ce fichier en gras
c:\program files\google\googletoolbar2.dll---> OUI , j'ai en fait googletoolbar1.dll version 3.0.125.1

2/ Vas sur ce site http://virusscan.jotti.org/
Colle dans la case à gauche de parcourir :
C:\ephy\EPHY32.EXE
clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse.
Si tu sais ce que c'est, dis moi à quoi ça correspond.-----> c'est un petit ephemeride en freeware qui s'affiche au démarrage de mon PC en milieu d'écran ( de Eurosoftware Development)

YLG

Posté le 22/09/2005 19:26:26

YLG a écrit :

je n'ai pas eu de rapport de quoi que ce soit sur le truc antivirus

jean-chretien1

Posté le 22/09/2005 19:31:13

Bon. Mais je te parlais du fichier googletoolbar2.dll, pas googletoolbar1.dll
Tu es infecté par Lop (lignes R1 et O4 "MagsSpamErrorSave"), un parasite généralement amené lors de l'installation de Messenger plus, avec acceptation du sponsor.

Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8) : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/200209051(...)
Tu vas t'en servir tout à l'heure.

1/ Télécharge :

- CCleaner
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Installe-le, laisse-le avec ses réglages par défaut. C'est tout.

*****Copie ce qui suit dans un bloc-notes et quitte internet*****

2/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.betyqvgrdumlxsaslgsumodg.net/I_N51_S8L4MBB/SbRmyiFt7BSQbeEN2V2j3Z6(...)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {30FE315C-E447-7F91-8723-17557EA52849} - (no file)
O4 - HKLM\..\Run: [MagsSpamErrorSave] C:\Documents and Settings\All Users\Application Data\jump eq mags spam\DVDBLUE.exe

- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

3/ Redémarre en mode sans échec

4/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

5/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\Documents and Settings\All Users\Application Data\jump eq mags spam <- le dossier

6/ Vide la corbeille.

7/ Lance Ccleaner, "Nettoyeur"/"lancer le nettoyage".

/8 Recache les fichiers protégés (procédure inverse de "Assure toi d'avoir accès aux dossiers/fichiers cachés")

9/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

YLG

Posté le 22/09/2005 21:55:28

[

bon, voilà le résultat de l'opération :

j'accède aux mises à jour de l'antivirus et de microsoft antispyware, mais passé un certain temps je ne peux plus acceder au site du forum micro hebdo ou de tout autre site, en fait peu de changement ...

Logfile of HijackThis v1.99.1
Scan saved at 20:31:22, on 22/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/servlet/helplinks?id=english7
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Raccourci vers EPHY32.lnk = C:\ephy\EPHY32.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

YLG

Posté le 22/09/2005 22:08:38

jean-chretien1 a écrit :

je n'ai pas eu de problème particulier
les fichiers effacés semblent bien avoir été effacés
à l'invite de la touche F8 je n'arrive pas à "mode sans echec" mais à une fenêtre bleu pâle sur fond bleu où il m'est demandé de me servir des touches directionnelles, et que ce soit en appuyant sur la touche entrée sur "floppy" ou "hard drive" ,et je relance ainsi l'allumage du PC apparemment correctement

heu voilà c'est tout , quand au surf sur internet c'est pas mieux 2 mn et pui plus moyen d'accéder aux pages .... !!! ???

YLG

jean-chretien1

Posté le 22/09/2005 22:15:24

Poste un rapport panda

http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

YLG

Posté le 23/09/2005 13:42:46

jean-chretien1 a écrit :

Poste un rapport panda

voilà le rapport de Panda Antivirus; apparemment la pêche à été bonne !

Quelle procedure dois-je suivre maintenant ? d'avance merci pour tes réponses YLG

Incident Statut Analyse

Adware:adware/toprebates No Désinfecté C:\WINDOWS\DOWNLOADED PROGRAM FILES\WinadX.inf
Adware:adware/wupd No Désinfecté C:\PROGRAM FILES\Winad Client
Virus:W32/Gaobot.ZS.worm Désinfecté C:\WINDOWS\system32\TFTP2920
Virus:W32/Gaobot.ZS.worm Désinfecté C:\WINDOWS\system32\TFTP3512
Adware:Adware/PurityScan No Désinfecté C:\WINDOWS\system32\mgcxkie.exe
Adware:Adware/WUpd No Désinfecté C:\WINDOWS\Downloaded Program Files\WinadX.inf
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\LE GUEN\Application Data\32start\zdfolxgb.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\LE GUEN\Application Data\32start\mscicjdx.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{62E04FF6-A55D-4D2B-A3E9-001BA1C9E831}\RP2\A0000156.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{62E04FF6-A55D-4D2B-A3E9-001BA1C9E831}\RP2\A0000157.exe

jean-chretien1

Posté le 23/09/2005 13:56:14

Salut,

0/ Désinstalle via ajout/suppression de programmes, si tu trouves :

Winad Client

1/ désactive ta restauration système :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/2002083(...)

2/ Télécharge
PocketKillBox
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
Dézippes-le sur ton bureau.

Lance-le, coche la case "Delete on reboot".
Ouvre le bloc-notes et copie-colle dedans ce qui est dans la citation suivante :

C:\WINDOWS\DOWNLOADED PROGRAM FILES\WinadX.inf
C:\WINDOWS\system32\mgcxkie.exe
C:\WINDOWS\Downloaded Program Files\WinadX.inf
C:\Documents and Settings\LE GUEN\Application Data\32start\zdfolxgb.exe
C:\Documents and Settings\LE GUEN\Application Data\32start\mscicjdx.exe

Toujours dans ton bloc-notes, tu vas dans édition/sélectionner tout, puis encore dans édition/copier

Sur PocketKillBox-->File-->Paste from Clipboard, tu cliques ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"

(Si tu as des difficultés avec cette manip, regarde cette démo animée, item n°1 http://pageperso.aol.fr/balltrap34/killbox.htm)

L'ordinateur doit redémarrer, sinon, fais le toi-même.

3/ Redémarre encore, mais en mode sans échec.

4/ Supprime ces dossiers :

C:\Documents and Settings\LE GUEN\Application Data\32star
C:\!Submit
C:\PROGRAM FILES\Winad Client

Vide ta corbeille.

5/ Lance CCleaner.

6/ Redémarre. Créer un point de restauration système
http://www.vulgarisation-informatique.com/creer-point-restauration.php

7/ Redémarre.

8/ Poste un nouveau rapport Panda.

YLG

Posté le 24/09/2005 01:01:02

jean-chretien1 a écrit :

Salut,

Bon voilà, c'est déjà mieux ,mais il en reste encore un qui fait de la resistance ...

Que dois-je faire maintenant ? d'avance merci YLG

Incident Statut Analyse

Adware:adware/wupd No Désinfecté Registre Windows

jean-chretien1

Posté le 24/09/2005 01:08:29

salut,

c'est une trace dans le registre.

Télécharge RegSearch
http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézipper dans un répertoire dédié tel que C:\Program Files
- double clique sur RegSearch.exe
- copie colle ceci :
Winad
dans la zone de recherche et clique sur OK
- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées
- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
recommence la manip avecce terme :
WUpd
- ferme RegSearch par Cancel
- copie-colle le contenu des fenêtres dans un post, ici
- ferme le bloc-notes

poste donc ces 2 rapports. Pdt que Regsearch cherche, ne touche à rien; Ferme tous les programmes. Ce n'est pas bien long mais ça consomme beaucoup de ressources.

YLG

Posté le 24/09/2005 02:02:42

jean-chretien1 a écrit :

salut,

désolé mais cela ne marche pas : un message s'affiche " Failed to get data for 'Counter' " puis " OK"
que faire ? YLG

jean-chretien1

Posté le 24/09/2005 12:51:54

Bonjour
YLG,

lance ces recherches en mode sans échec pour etre tranquille.
Sauvegarde les rapports, redémarre normalement, et poste les.

YLG

Posté le 24/09/2005 14:46:28

jean-chretien1 a écrit :

Bonjour
YLG,

lance ces recherches en mode sans échec pour etre tranquille.
Sauvegarde les rapports, redémarre normalement, et poste les.

désolé mais je ne peux pas faire fonctionner RegSearch , même sous mode sans échec, que je n'obtient finalement pas par la touche F8 mais par demarrer/executer/msconfig

Par contre en passant par regedit/rechercher/ j'obtient les localisations suivantes

pour Winad

HKEY_Current_User/Software/Microsoft/ Search Assistant/ACMru/5603/ chaine ...etc...

et pour WUpd

HKEY_Current_User/Software/Microsoft/Windows/Current version/App Management/chaine ...etc...

je n'arrive à rien d'autre pour le moment YLG

jean-chretien1

Posté le 24/09/2005 15:12:43

retélécharge-le et refais un essai.

Si ça ne marche pas, il faut que tu me donnes le chemin entier et exact de ces occurences, y compris le CLSID (ce que tu appelles "chaîne")
Autre chose, quand tu fais édition rechercher depuis regedit veille à ce que :
- pour la 1ere recgherche d'un terme, "poste de travail" soit en surbrillance" pour qu'il commence la recherche dès le début
- quand il a trouvé un terme, copie le chemin entier, puis appuie sur la touche F3 pour qu'il cherche l'occurence suivante, et ainsi de suite, jusqu'à ce que tu arrives au bout de l'arborescence.

C'est pénible mais je pense qu'on a trouvé. RegSearch fait ça très bien, mais ce n'est pas la 1ere fois que je constate ce genre de problèmes avec ce log....

YLG

Posté le 24/09/2005 20:57:54

[

est-ce ce que tu veux exactement, parce que pour Winad c'est relativement court, mais pour WUpd

c'est incroyablement long ( j'ai pas compté mais il y a au moins 50 occurences différentes) ?

et comme j'en ai sauté quelques unes croyant que je tournais en rond, je suis bon pour recommencer

... mais bon si il le faut !!!

je copie cela en exportant le fichier sous forme texte ( .txt) est-ce correcte ou faut-il choisir

"copier la clé" ?

pour ce qui est de "regsearch" rien à foutre pour le faire marcher, toujours la même réponse que

la première fois

tout cela rentrera dans le message sans faire sauter leforum ?

merci pour ta réponse YLG

concernant WINAD:

Nom de la clé :

HKEY_USERS\S-1-5-21-583907252-1972579041-839522115-1004\Software\Microsoft\Search

Assistant\ACMru\5603
Nom de la classe : <Sans classe>
Heure de dernière écriture : 24/09/2005 - 12:57
Valeur 0
Nom : 000
Type : REG_SZ
Données : Winad

Nom de la clé :

HKEY_USERS\S-1-5-21-583907252-1972579041-839522115-1004\Software\Microsoft\Windows\CurrentVersion\E

xplorer\ComDlg32\OpenSaveMRU\*
Nom de la classe : <Sans classe>
Heure de dernière écriture : 24/09/2005 - 19:31
Valeur 0
Nom : a
Type : REG_SZ
Données : C:\Documents and Settings\LE GUEN\Mes documents\Rapport Activescan 02.txt

Valeur 1
Nom : MRUList
Type : REG_SZ
Données : gfebdca

Valeur 2
Nom : b
Type : REG_SZ
Données : C:\Downloads\regsearch.zip

Valeur 3
Nom : c
Type : REG_SZ
Données : C:\Documents and Settings\LE GUEN\Mes documents\réponse chretien01.txt

Valeur 4
Nom : d
Type : REG_SZ
Données : C:\Documents and Settings\LE GUEN\Bureau\regsearch.zip

Valeur 5
Nom : e
Type : REG_SZ
Données : C:\Documents and Settings\LE GUEN\Mes documents\trace winad.txt

Valeur 6
Nom : f
Type : REG_SZ
Données : C:\Documents and Settings\LE GUEN\Mes documents\trace winad2.txt

Valeur 7
Nom : g
Type : REG_SZ
Données : C:\Documents and Settings\LE GUEN\Mes documents\trace winad3.txt

Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Winad Client
Nom de la classe : <Sans classe>
Heure de dernière écriture : 15/09/2004 - 13:43
Valeur 0
Nom : param
Type : REG_SZ
Données :

3847407103d16c545a5c2111acb8e692f032198047222f:3562376565326461386333623938373264663634353365643230

323438356131

Valeur 1
Nom : LastUpdate
Type : REG_DWORD
Données : 0x414829b6

Valeur 2
Nom : DownloadPath
Type : REG_SZ
Données : \temp

Valeur 3
Nom : Language
Type : REG_SZ
Données : en

Valeur 4
Nom : SoftwareTable
Type : REG_SZ
Données :

436D8EB9402BABFFB0F49002FEB138EA3748AE513CDB3D860E68E4AA96C8593AA41B3274B13431642A49C6CDFBCE7730DC4

C8D4E5CD9EE2C8FDA8CCEB7E205BED6F04F4C1431A7C9BF2310DB7FA702E3E92FD2E1B7709E828E37A39C93648C3A784814

5D15845478A9CC086B3AC5CF0469C3210D5535A31C08CD7C4D22911AE22ADEB6EEC96F95C930BCDCCF759C3EDEE9281546A

125B2980FF4C45CDF8014D41511D8FD1062D8061391B583A0F7F648796AB4BC7029E572B9E7E36D18FCCF0CE2BE969449B8

E2A7EF5ED0F975BAD7FB4DA4361A14D47513F72BC11706F2EB602504F05DD7F7ACB055B66EAFEEF0C42D4BD3F61E289DA8D

315158CE783923F7931F39C725236D40EF623BD66BE6CE2968FB5531B64E4235A3E5E55931D9EC1845CFB3CA68010514BAE

6EDB6588CEA7C1348A6BCCCB42B7CE2D64E4F8DC2566CD704888F51D83C09A7002B7B6BC44CC6437180240F7DDA1E392CCF

408677D4AD463CD47278EA96E78CAE6EBBE322274EF5F89198F42E1B5378D35D10A1D9C6C67E81186490C2481A0A048FA6C

B012247DB01656F7A9AEB526597A3490CD7B740FA24AACE2D7AE28A95ADF9B8CB27BA6576552C2B1C6CEFD44D5259B54C01

DBF3B04552D84E28D425F1C4F9ADDFC0F971D25B7E2F724314CCBD582EE6EE0A43E52E6077034809214E4F3CD1BA91DD6F4

FD03B091A8C5588FD5DBDF3B14048242193049EEFA8A0405B168CDA5AD8B5CE4B153E976FFB501F692CEA2847CD072831BB

6E3EF908A6EF9AFD8921EA1ED7CB106D2C77069C80CB457AF0BDE458424E4BC617E2C0A10316C13C8C21D47D5CBE167F3F2

9BE1BB5ACC22B53702870A8228866E11A58481BB6024AD50200DD0099DD41976D3043989E5D4E411C478508C58125E5993D

5DB941B9563538931069CD2E86516DC6E015473D9A8F4F67462A8D1D25DA8FAE6BD7A57B8C5275268F3627E115719D6273F

656E44F7CA0EA6A8342164FBE114DDDF4B3616917B132A28309E8FE815A25C366E66920129F99014391F252C57C2494695E

04FAFDE31790A671A0F12AF051331BE7356E0ABC9CAE044504351F1267DDCD942D5FCDC9B985F87CC33E1935C9CD483BE68

257476E5FADDA633B5BC056439CCA52F882DBEB22DA7602B92A8F3763263F12E16049D6A515EA80C5843565605ECDC2D7BA

942D7863ED36A9BF36913A890ADE67FA293FA5E4500A4AD749B5FFEC0B230CB83BBF6C31864DC0DBAA53DDB8743B662C354

8637E8A2949B1E5BFA8BE849B2DCF475C7BE3EB2E3A97D7E31596457335951C00B44C845B6AA5D1252CCE431A2840BC3305

519B923EF7755C1209CBC4076853425B273762BDB0B6D99EB4A364862E86FDE289706D7DF9B7C19CF47AA67ED8411EAE89C

AF8B5050E3F67413FDB041D0BA0EA54874895D3CB7640E39EF979AB5389DF62DB6924DB98AA785D1470C45033D0341B1BD6

D16458FF74D8CED9FF44095E24C5656F34D2F76838F812AA8BD65D87C22990CB7921AD10E64E4C2D2CBF2EA1CA15F4B8B97

4B27350A22398AE8880A3E8720F841DC4B84BFF695068ED2426DF982F4194549FD259921EC326E075769321A23DD7B9B4CE

377A8B07917AAA32EF7A27DE5F178813879C1BD730F8A2F5DB0852824EF2604DA2E0F9F9049CF2E7C31B7F027628A83FA7D

9F0EC8472662BF0D0EF66C61EE6A1CDA4CE36DDB9678077DA59EA5270CA1FA88073086BAE89E9091E6C7B0B3F20836AFE8A

DE9CC612F7E6F526C55BB7FDF53EC2362678984A81DD7CBFF30992FB1AB2CBC23CA5E6FE543FC159B1AED20308E65167824

F669CAA617FC39D750D352783EADB2FF17F10362566802E077137F4D39738108A57B010A25E112F2F95E357080A07F59570

AB5E652A6C882FFCF52DB703CF7AA5B7C23F92F94587D8A70E1EB05A8C5208005D65366FF719CD71393EE7EEF060B3F24CA

D1A6BE12AF132B09691EA7E32C09F4DFCDF3E5D608BA12DF7F2EF4D7D89CACB7AB2DFD80CAFFCE595EC8852EE743847DA0D

B24D4B26B41456E8FF4D29773C8EFA4B584F307F4A566E1315ACE8110D86B630D46CEEFCBA3C32E785B78A19E413A9FACB8

903A244724B29CF4F9B024BF949FC3296965E76400820F0B10F32139202F8FABD1101486BD2CDBE0AA44181D72F1AB66600

1AAC2C9F0EF914E04649EC5A3AFBEB9D3C63E1A579A1DCC2FC04F28520BF80A1D459C764EC228E17E3AAB4C900C0321119D

CF9F096E19EF21B484F5464E91953EF62F6896FF3AAE33AB2EFCCD39BD2AB6A4AFBE1F718AEB3B64C9D734060FFE624183B

CAE3BE4DD512326FF23475E7E8FA98CFF4CA52946C3BD1C1157F5DB690F091B4FDF2E3809B5EA0482522A7E32D4B78D0823

F24B6FC4B4938791914DC51D853306F2F63622DFC9C3D7B9708C2FF09DA3717FB1A242B872260DBE64AB6DC8CB61AB3BCF5

C8763E0D0B0B3AA3CED4F36FBF9A956BA74F5DD559A988C8EE5A804FE358E450EFAE8BA18232D87E4927C8310D5B83F0E19

C8BA0D1303D9711C118BACDACB56965E43F7021FB8E95EDD9484D9EDE08FD393D5D32CE2C06BEDD245B51444FE03752DF7F

0513575D93F

Valeur 5
Nom : Request
Type : REG_SZ
Données :

436C84AE4139B9F9EB9CA101E0B56BE84D04FF0B36D743F3006AB5A78FE22830AD396873E63B34696469CB91FBC67250DF1

5D00F1981BA70F882CB92F1BA0FB1CC9418164D74E69EE67C61823EFF47EEED5D84BEE53F92818B2BDFCAC836C732702C47

074DC4142AF0937F38639282096BCC3E6C026FF95C449F251757C747BF7CB0EBCECD6BC5860C99F9E70FA0618FC03337678

A6DA3E07792D2078ABB14C506438896207DDC0D6EC28999B1A4F4214242B4E53161BA01D2F6AC5A16ECC351F8E4D5BE48BB

F4EDBC1FFCA373B884E877BF35035D894E32BA35BB6F658C9B6F2B72B05BD6A5AEB552B874C2E4ECC42F58A9CD0673CCC68

E482684E5C8CB635D6E

jean-chretien1

Posté le 24/09/2005 21:15:06