LE NEWSMAGAZINE Nº1 DES NOUVELLES TECHNOLOGIES
168 utilisateurs connectés
Forum de Micro Hebdo / Questions techniques diverses / Autre/ Pop-up avec nouvelle session Inst access, kazaa (resolu)
page précédente  1 - 2 - 3 - 4
ou aller à la page
 page suivante

Pop-up avec nouvelle session Inst access, kazaa (resolu)

zig_zag le 22 aout 2005 à 20h00
:hello: Quand j'ouvre une nouvelle session windowsXP pops-up deux fenêtres:
Une première fenêtre noire avec barre:
C:\WINDOWS\System32\WMCRRS.EXE
et une deuxiéme fenêtre avec barre:
sous_sytème MS_DOS 16 bits
et le texte
C:\WINDOWS\System_32\WMCRRS.EXE
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT
Le fichier système ne convient pas à l'execution des applications MS_DOS ou Microsoft windows. Choisissez "Fermer" pour mettre fin à l'application.
Ca se ferme en effet facilement mais ça m'énerve chaque fois.
:chepa: Comment éviter fenêtres? D'ou viennent-elles?
-->Message édité par zig_zag le 25/09/2005 00:39:54<--
répondre
zig_zag le 23 aout 2005 à 01h37
:ange:
jean-chretien1 a écrit :
salut,

essaye ceci
http://www.vulgarisation-informatique.com/faq-65--autoexec-nt.php
[/Merci
J'ai copié AUTOEXE.NT ..etc
Mon ordi ne parle plus de AUTOEXE... mais les 2 fenêtres reaparaissent.
avec: Le processeur NTVDM a rencontré une instruction non autorisée
CS:OOOIP:0077OP:fo37050002 ... choisissez "fermer...
Y-a-t-il un truc similaire dans votre livre (demain parce qu'il est assez tard) pour le WMCRRS.EXE partie du problème?

:salut: quote]
répondre
zig_zag le 23 aout 2005 à 11h10
:bounce: Au secours!
Comme j'ai écrit hier, copier autoexec.nt dans le dossier system32 n'arrange pas tout et au deuxième démarrage de mon ordi, ça a causé erreur presque fatale
Le démarrage prend un 4 min et !!!!! j'ai fait (avec beaucoup de difficulté) une restauration a une date avant la modification mais mon ordi est resté dans ce pauvre état.
La restauration avait simplement caché le fichier...
J' essaie de enlever le fichier manuellement system32 peut-être...
et [/je croise les doigt ??s]
répondre
yannik le 23 aout 2005 à 13h46
As-tu au moins un Service Pack sur ton PC ? Poste un rapport HiJackThis.
-->Message édité par yannik le 23/08/2005 13:47:25<--
-------
:jap:
répondre
zig_zag le 30 aout 2005 à 01h30
yannik a écrit :
As-tu au moins un Service Pack sur ton PC ? Poste un rapport HiJackThis.



:??: Hallo! ( 6 jours plus tard...)
Je n' ai pas de Service Pack sur mon PC. On m' dit que ça donne des problèmes avec certaines jeux ( comme Warcraft qui est un favori ici).
Peut-on vivre sans service pack? (jusqu'a maintenant je peux..)
Je n'ai jamais posté un HiJackThis et j' ai encore à apprendre comment.
J'ai restauré mon système à un état qui fonctionne bien mais encore avec les deux fenêtres au début de chaque session.
Je vais peut-être simplement éliminer les fichiers WMCRRS. Peut-être ils sont pas important.
répondre
jean-chretien1 le 30 aout 2005 à 01h35
salut,

ne supprime rien.

- Poste un rapport HijackThis :
Téléchargement : http://www.merijn.org/files/hijackthis.zip
consignes : http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm
répondre
yannik le 30 aout 2005 à 13h23
Si tu le permet jean-chretien1, j'ai quelque chose en tête. Je voudrais faire un scan d'un lorsque le log sera là. Merci. :jap:


***********

zig_zag, Le Service Pack 1 corrige pas mal de problème, notamment celui de "NTVDM". Installe au moins le premier.
-->Message édité par yannik le 30/08/2005 13:25:21<--
-------
:jap:
répondre
jean-chretien1 le 30 aout 2005 à 13h54
Salut yannik

bien sur pas de problème.

J'ai déjà vu ce problème sur PC astuces
C:\WINDOWS\System_32\WMCRRS.EXE
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT
Il me semble meme avoir fait scanner ce fichier wmcrrs.exe, il faudrait que je retrouve le topic.

Cela avait été réglé en fixant la ligne O4 Wmccrs ainsi qu'en appliquant la procédure classsique pour autoexec.nt

Donc zig_zag, je te laisse entre les mains bienveillantes de yannik :)

répondre
yannik le 30 aout 2005 à 15h35
En fait, je te laisse l'analyse du log. Je veux juste scanner WMCRRS.EXE. :D
Moi aussi, j'avais scanné ce fichier, mais il n'y avait rien de détecté. Or, c'est un malware. C'est pour ça que je veux voir si un antivirus le détècte ou non.
-------
:jap:
répondre
zig_zag le 31 aout 2005 à 02h20
jean-chretien1 a écrit :
salut,

ne supprime rien.

- Poste un rapport HijackThis :
Téléchargement : http://www.merijn.org/files/hijackthis.zip
consignes : http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm


:hello: Logfile of HijackThis v1.99.1
Scan saved at 02:01:35, on 31/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\04fodc5b.exe
C:\Program Files\Heznlwm\Muyhwm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Vera\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\PROGRA~1\INSTAF~1\INSTAF~1.DLL (file missing)
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\bhomod00.dll
O2 - BHO: (no name) - {7F91174A-33C5-40E9-969A-F98CC65F4CC1} - C:\WINDOWS\System32\nlmg.dll (file missing)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O4 - HKLM\..\Run: [udyzsx] C:\WINDOWS\udyzsx.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [j4xGJ3D4c.exe] C:\documents and settings\mr vanisacker\local settings\temp\j4xGJ3D4c.exe
O4 - HKLM\..\Run: [j4xGJ3D4c] C:\documents and settings\mr vanisacker\local settings\temp\j4xGJ3D4c.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [04fodc5b] C:\WINDOWS\System32\04fodc5b.exe
O4 - HKLM\..\Run: [WMCRRS] C:\WINDOWS\System32\WMCRRS.EXE
O4 - HKLM\..\Run: [Hhywpdnq] C:\Program Files\Heznlwm\Muyhwm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\3.bin\MWSOEMON.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZZ
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://acces-direct.net/17200/Acces_Censure.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/F7AAhISaSt5Cjn7DjZBl.chm::/on-line.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c32.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInit(...)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/goodthinxx.cab
O16 - DPF: {867A7024-6A54-4A20-9D9C-FDF34805D44E} (ModManAx Class) - http://liveshow.xxxhot.net/ModMan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BA14D944-0D8C-4F16-A950-6E53EEBB558F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1040_FR_XP.cab
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab
O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_FR_XP.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Voilà, il me paraît qu'avec cela vous pourriez sauter directementdans mon ordi!
à bientôt!
répondre
jean-chretien1 le 31 aout 2005 à 02h36
Salut,

en fait, le rapport est très infecté.
La dernière fois que j'avais vu cette histoire de WMCRRS.EXE , ce n'était pas du tout le cas. En tout cas il est bien dans ta liste de démarrage.

Pour commencer, fais donc ceci :

Vas sur ce site http://www.virustotal.com/flash/index_en.html
Colle dans la case à gauche de parcourir
C:\WINDOWS\System32\WMCRRS.EXE
clique ensuite sur "send". Un rapport est généré assez rapidement. Dépose le dans ta réponse.

Après il va y avoir du boulot ;)
répondre
zig_zag le 31 aout 2005 à 02h43
yannik a écrit :
Si tu le permet jean-chretien1, j'ai quelque chose en tête. Je voudrais faire un scan d'un lorsque le log sera là. Merci. :jap:


***********

zig_zag, Le Service Pack 1 corrige pas mal de problème, notamment celui de "NTVDM". Installe au moins le premier.


:hello: Je pense que j' ai envoyé le hijackthis. Est-ce que ça suffit pour "scanner" mon WMCRRS ?
Au sujet de malware:
J'ai Norton i-sec et anti-v mais il ne l'a pas signalé comme malware ou autre chose de suspect.
J' ai aussi ad-aware et ça fonctionnait bien au début mais depuis quelques temps le scan s' arrête après +- 70000 fichiers. Je n'arrive pas à voir sur quel fichier il reste bloqué . (est-ce qu'il se bat avec Norton? )
Pour un autre jour j'ai encore d'autres questions au sujet de spyware qui squate dans mon ordi...
A bientôt!
répondre
jean-chretien1 le 31 aout 2005 à 02h46
non fais le scanner sur le site que je t'ai dit, 23 antivirus vont analyser ce fichier d'un coup :)

Le reste, le log HJT, on s'en occupe juste après.
répondre
zig_zag le 31 aout 2005 à 02h50
jean-chretien1 a écrit :
Salut,

en fait, le rapport est très infecté.
La dernière fois que j'avais vu cette histoire de WMCRRS.EXE , ce n'était pas du tout le cas. En tout cas il est bien dans ta liste de démarrage.

Pour commencer, fais donc ceci :

Vas sur ce site http://www.virustotal.com/flash/index_en.html
Colle dans la case à gauche de parcourir
C:\WINDOWS\System32\WMCRRS.EXE
clique ensuite sur "send". Un rapport est généré assez rapidement. Dépose le dans ta réponse.

Après il va y avoir du boulot ;)

:bisou: Je ne sais pas si je peux attaquer ça toute suite mais
merci déjà pour ces réponses super-rapides!
répondre
zig_zag le 31 aout 2005 à 22h26
:hello:
voilà le raport:
This is a report processed by VirusTotal on 08/31/2005 at 22:16:24 (CET) after scanning the file "WMCRRS.EXE_" file.
Antivirus Version Update Result
AntiVir 6.31.1.0 08.31.2005 no virus found
Avast 4.6.695.0 08.31.2005 no virus found
AVG 718 08.31.2005 no virus found
Avira 6.31.1.0 08.31.2005 no virus found
BitDefender 7.0 08.31.2005 no virus found
CAT-QuickHeal 8.00 08.31.2005 no virus found
ClamAV devel-20050725 08.31.2005 no virus found
DrWeb 4.32b 08.31.2005 no virus found
eTrust-Iris 7.1.194.0 08.30.2005 no virus found
eTrust-Vet 11.9.1.0 08.31.2005 no virus found
Fortinet 2.41.0.0 08.31.2005 no virus found
F-Prot 3.16c 08.31.2005 no virus found
Ikarus 0.2.59.0 08.31.2005 no virus found
Kaspersky 4.0.2.24 08.31.2005 no virus found
McAfee 4571 08.31.2005 no virus found
NOD32v2 1.1207 08.31.2005 no virus found
Norman 5.70.10 08.31.2005 no virus found
Panda 8.02.00 08.31.2005 no virus found
Sophos 3.97.0 08.31.2005 no virus found
Symantec 8.0 08.31.2005 no virus found
TheHacker 5.8.2.097 08.30.2005 no virus found
VBA32 3.10.4 08.31.2005 no virus found


VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com

Rien trouvé, où est-ce que on va maintenant?
à bientôt !
répondre
jean-chretien1 le 31 aout 2005 à 23h26
Bonsoir zig_zag,

Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8) : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/200209051(...)
Tu vas t'en servir tout à l'heure.

1/ Télécharge :

- CCleaner
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Installe-le, laisse-le avec ses réglages par défaut. C'est tout.

- -About:Buster
http://www.malwarebytes.biz/index.php?page=downloads
Une fois téléchargé,tu le dézippe,et tu mets un raccorci sur le bureau.

-SpyBot-Search & Destroy
http://spybot.safer-networking.de/fr/download/index.html
Son tuto http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php
Tu l'installes et tu le mets à jour, c'est tout.

- - Easy Cleaner : http://personal.inet.fi/business/toniarts/ecleane.htm#download
(il faut prendre celui-ci files/EClea2_0.exe (2,72mb) (with installer, recommended))
Installe-le, c'est tout.

- CWShredder http://cwshredder.net/bin/CWShredder.exe
tu l'installes dans son propre répertoire et pas dans un répertoire temporaire.


*****Copie ce qui suit dans un bloc-notes et quitte internet*****

2/ Lance Cwebshredder, clique sur "fix", patiente.


3/ Termine ce(s) processus en ouvrant le gestionnaire des tâches (ctrl-alt-suppr, onglet "processus". Clic droit/terminer le processus/valider)

mwsoemon.exe
P2P Networking.exe
MediaGateway.exe
optimize.exe
04fodc5b.exe
Muyhwm.exe
actalert.exe

4/ désinstalle via ajout/suppression de programmes, si tu trouves :

MyWebSearch
MyWay
ShopperReports
InstaFinder ou InstaFinderk
webHancer
Media Gateway
Internet Optimizer
Heznlwm
PrecisionTime <- "Gator/Claria"

5/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Vera\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\PROGRA~1\INSTAF~1\INSTAF~1.DLL (file missing)
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\bhomod00.dll
O2 - BHO: (no name) - {7F91174A-33C5-40E9-969A-F98CC65F4CC1} - C:\WINDOWS\System32\nlmg.dll (file missing)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O4 - HKLM\..\Run: [udyzsx] C:\WINDOWS\udyzsx.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [j4xGJ3D4c.exe] C:\documents and settings\mr vanisacker\local settings\temp\j4xGJ3D4c.exe
O4 - HKLM\..\Run: [j4xGJ3D4c] C:\documents and settings\mr vanisacker\local settings\temp\j4xGJ3D4c.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [04fodc5b] C:\WINDOWS\System32\04fodc5b.exe
O4 - HKLM\..\Run: [WMCRRS] C:\WINDOWS\System32\WMCRRS.EXE
O4 - HKLM\..\Run: [Hhywpdnq] C:\Program Files\Heznlwm\Muyhwm.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\3.bin\MWSOEMON.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZZ
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://acces-direct.net/17200/Acces_Censure.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/F7AAhISaSt5Cjn7DjZBl.chm::/on-line.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c32.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInit(...)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/goodthinxx.cab
O16 - DPF: {867A7024-6A54-4A20-9D9C-FDF34805D44E} (ModManAx Class) - http://liveshow.xxxhot.net/ModMan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BA14D944-0D8C-4F16-A950-6E53EEBB558F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1040_FR_XP.cab
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab
O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_FR_XP.cab


- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

6/ Redémarre en mode sans échec

7/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

8/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\Program Files\MyWebSearch <- le dossier
C:\Program Files\MyWay <- le dossier
C:\Program Files\Media Gateway <- le dossier
C:\Program Files\Internet Optimizer <- le dossier
C:\Program Files\Heznlwm <- le dossier
C:\PROGRAM FILES\INSTAFinder ou InstaFinderk <- le dossier
C:\Program Files\ShopperReports <- le dossier
C:\Program Files\PrecisionTime <- le dossier
C:\Program Files\ShopperReports <- le dossier
C:\Program Files\webHancer <- le dossier

C:\Program Files\Fichiers communs\GMT <- le dossier

C:\WINDOWS\nem220.dll <- le fichier
C:\WINDOWS\wsem303.dll <- le fichier
C:\WINDOWS\udyzsx.exe <- le fichier

c:\windows\system\bhomod00.dll <- le fichier

C:\WINDOWS\System32\P2P Networking <- le dossier
C:\WINDOWS\System32\nlmg.dl <- le fichier
C:\WINDOWS\System32\04fodc5b.exe <- le fichier

C:\documents and settings\mr vanisacker\local settings\temp\j4xGJ3D4c.exe <- le fichier

9/ Vide la corbeille.

10/ Double clique sur About:Buster.
Ok--->Start---->Ok
Un scan est exécuté (attendre quelques secondes).
Sauvegarde le log de ce scan dans un fichier .txt quelconque afin de le retrouver.le poster si nécessaire.
Refaire un second scan, pour voir.

11/ Lance Ccleaner, "Nettoyeur"/"lancer le nettoyage".

12/ Lance Spybot, supprime tout ce qu'il te propose

13/ Lance encore CWshredder ("Fix")

14/ Lance Easy Cleaner, n'utilise que la fonction "registre". Supprime toutes les clés précédées d'un rond vert.

15/ Recache les fichiers protégés (procédure inverse de "Assure toi d'avoir accès aux dossiers/fichiers cachés")

16/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

répondre
zig_zag le 01 septembre 2005 à 18h28
:chepa: Bonjour jean_chretien,
!!!!CONFUSION TOTALE!!!!!!!!!!!!!!!!!!!
Pourtant, hier soir j'était assez optimiste...
J' ai travaillé longtemps et je n' avais rencontré que quelques petits problèmes ( p.e. répertoire temporaire pour CWShredder ??? et les updates de SPYBot)
Je suis allée jusqu'a numero 11. J'ai pas pu faire 12 (Spybot).
Je n'avais pas vidé la corbeille (pas assez courageux...)
J'avais fini avec 14,15 et ça redémarra sans problème et sans la fenêtre WMCRRS.
Mais maintenant tout est à nouveau là !!! TOUT TOUT ce que j'avais éliminé. (P2Pnetworking, gateway etc..)
Est-ce parce que j'ai faites tout sur une session d' administrateur (qui apparaissait en mode sans échec ) au lieu de travailler dans une session sur mon propre nom ???
Ou a un autre utilisateur tout reinstallé (sans le vouloir et sans en savoir trop) en cliquant OK sur quelques pop-ups de CCcleaner ??

Si vous êtes en ligne, pourriez vous répondre rapidement s'il vous plaît ?
Entr temps je recommence de 3
a bientôt .
répondre
jean-chretien1 le 01 septembre 2005 à 18h35
Bonsoir zig_zag,

pas de panique ;)

déjà bravo d'avoir appliqué la procédure, ce n'éttait pas évident. Quand j'ai posté cette réponse, j'ai eu l'impression de poster un rapport :)

Bien.
Déjà, il fallait vider la corbeille. Il ne s'agit que de malwares, donc à supprimer impitoyablement.

Lorsque tu as coché les lignes dans le logiciel HijackThis, est-ce que tu as bien cliqué ensuite sur "fix checked" ?

Pour Spybot, quel a été le problème rencontré ? tu ne sais pas le mettre à jour ? ou autre chose ?
Pour CWshredder, as-tu pu quand même le passer ?

Pour le démarrage en mode sans échec, tu pouvais choisir tza propre session, càd celle ou figure ton nom.

De toutes façons, ce que tu vas faire, c'est reposter un rapport pour qu'on revoie tout ça. Avant de recommencer.
Essaie de répondre à toutes ces questions.
répondre
zig_zag le 01 septembre 2005 à 19h05
jean-chretien1 a écrit :
Bonsoir zig_zag,

pas de panique ;)

déjà bravo d'avoir appliqué la procédure, ce n'éttait pas évident. Quand j'ai posté cette réponse, j'ai eu l'impression de poster un rapport :)

Bien.
Déjà, il fallait vider la corbeille. Il ne s'agit que de malwares, donc à supprimer impitoyablement.

Lorsque tu as coché les lignes dans le logiciel HijackThis, est-ce que tu as bien cliqué ensuite sur "fix checked" ?

Pour Spybot, quel a été le problème rencontré ? tu ne sais pas le mettre à jour ? ou autre chose ?
Pour CWshredder, as-tu pu quand même le passer ?

Pour le démarrage en mode sans échec, tu pouvais choisir tza propre session, càd celle ou figure ton nom.

De toutes façons, ce que tu vas faire, c'est reposter un rapport pour qu'on revoie tout ça. Avant de recommencer.


Essaie de répondre à toutes ces questions.


:salut: rebonjour,
pour le hijackthis : j'ai coché plein de trucs, j'ai bien cliqué sur "fix checked" mais je n' ai pas trouvé le "valider" et j'ai quitté comme ça et continué avec 6.

Pour Spybot ça bloquait (hang...) en faisant le MAJ. Aujourd'hui choissi encore un autre site et reussi (Pas encore run SPybot)

J'avais passé CWshredder (ça a éliminé CWS.Aff.Toolband, c'est tout).
J'avais perdu CWShredder(probablement dans répertoire temp...) mais déjà reinstallé (même reultat, removed CWS.AFF.T ..)

Est-ce que je peux interompre le boulot après 5) après9) ou est-ce aussi une erreur?
A toute suite je fais le hijack!
répondre
jean-chretien1 le 01 septembre 2005 à 19h11
Bon,

pour CWS, tu lances une recherche dans l'ordinateur de ce terme CWShredder.exe
quand tu le trouves, tu le déplaces sur ton bureau par exemple.

Pour les Maj de Spybot, tu le lances, "recherche de mises à jour"
S'il coince, tu cliques sur le bouton situé juste à droite de "recherche de mises à jour" et tu sélectionnes un autre serveur "see-cure networking", "malwarebytes"... jusqu'à ce que ça marche.

J'attire ton attention sur l'importance de faire ces manipulations hors connexion.
c'est pour cela que je mets :


*****Copie ce qui suit dans un bloc-notes et quitte internet*****


Si ton antivirus ou firewal le permet, bloque le trafic. Sinon, coupe carrément ta connexion.

Autre élément important, faire le maximum de la procédure, mais sans s'arrêter. Même si des éléments ne sont pas trouvés, ça ne fait rien.

Bon, termine ce que tu as commencé, puis poste un nouveau rapport quand tu as fini.
répondre
zig_zag le 01 septembre 2005 à 19h19
:salut: rerebonjour et merci. Voila déjà le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 19:09:33, on 01/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\04fodc5b.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Program Files\Heznlwm\Muyhwm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\PROGRA~1\INSTAF~1\INSTAF~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\bhomod00.dll
O2 - BHO: (no name) - {7F91174A-33C5-40E9-969A-F98CC65F4CC1} - C:\WINDOWS\System32\nlmg.dll (file missing)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O4 - HKLM\..\Run: [udyzsx] C:\WINDOWS\udyzsx.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [j4xGJ3D4c.exe] C:\documents and settings\mr vanisacker\local settings\temp\j4xGJ3D4c.exe
O4 - HKLM\..\Run: [j4xGJ3D4c] C:\documents and settings\mr vanisacker\local settings\temp\j4xGJ3D4c.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [04fodc5b] C:\WINDOWS\System32\04fodc5b.exe
O4 - HKLM\..\Run: [WMCRRS] C:\WINDOWS\System32\WMCRRS.EXE
O4 - HKLM\..\Run: [Hhywpdnq] C:\Program Files\Heznlwm\Muyhwm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\3.bin\MWSOEMON.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.4.0\ShprRprt.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://acces-direct.net/17200/Acces_Censure.exe
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/F7AAhISaSt5Cjn7DjZBl.chm::/on-line.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c32.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInit(...)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/goodthinxx.cab
O16 - DPF: {867A7024-6A54-4A20-9D9C-FDF34805D44E} (ModManAx Class) - http://liveshow.xxxhot.net/ModMan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BA14D944-0D8C-4F16-A950-6E53EEBB558F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1040_FR_XP.cab
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab
O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_FR_XP.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

à bientôt. (j' arrête un petit moment..)
répondre
jean-chretien1 le 01 septembre 2005 à 20h33
Bon tu recommences toute la procédure, mais tu fais tout ça en mode sans échec.

Ce qui donne :

avant l'étape 2, tu passes en mode sans échec, directement, puis tu fais l'étape2.
Tu sautes l'étape 3 puisque ces processus ne seront pas actifs (le mode sans échec est un mode dans lequel le minimum de programmes vitaux sont lancés)
Puis tu continues, de l'étape 3 à 16.

Tu mettras About:Buster ainsi que CWshredder sur ton bureau.

Et tu te connectes avec ta session.

A+tard

PS : quand je dis "valide puis quitte Hijackthis", lorsque tu cliques sur "fix checked" (après avoir coché les cases citées) il te demande confirmation -> tu mets oui (ou yes), puis tu fermes le logiciel.
-->Message édité par jean-chretien1 le 01/09/2005 20:34:19<--
répondre
zig_zag le 02 septembre 2005 à 02h00
jean-chretien1 a écrit :
Bon tu recommences toute la procédure, mais tu fais tout ça en mode sans échec.

Ce qui donne :

avant l'étape 2, tu passes en mode sans échec, directement, puis tu fais l'étape2.
Tu sautes l'étape 3 puisque ces processus ne seront pas actifs (le mode sans échec est un mode dans lequel le minimum de programmes vitaux sont lancés)
Puis tu continues, de l'étape 3 à 16.

Tu mettras About:Buster ainsi que CWshredder sur ton bureau.

Et tu te connectes avec ta session.

A+tard

PS : quand je dis "valide puis quitte Hijackthis", lorsque tu cliques sur "fix checked" (après avoir coché les cases citées) il te demande confirmation -> tu mets oui (ou yes), puis tu fermes le logiciel.


:hello: Salut J-C
J'ai fait tout !
ça semble bien pour le moment.
Encore quelques commentaires; mais demain ,parce que je ne tiens plus debout.
Mille mercis .
encore le Hijack final:
Logfile of HijackThis v1.99.1
Scan saved at 01:46:26, on 02/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Hijackthis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe


:??: ce rapport me semble encore plus grand que avant...
à demain!
répondre
zig_zag le 02 septembre 2005 à 13h15
:salut: Bonjour jean-chretien1 et yannick
Un grand merci pour tout l' aide!
Maintenant semble fonctionner bien maintenant (sauf mon problème de photo pour lequel j' ai demandé de l'aide dans la section internet etc du forum)

Encore quelques questions:
1) Est-ce bien de installer SPyware Blaster et Mozilla Firefox (comme proposé par.. ) Est-ce que ça va ensemble avec les autres antivirus et Nortoninternet security de symantec?
2) j'ai Ad-Aware à nouveau en forme . ça n'avait rien à voir avec les problèmes résolus par vous. J'ai remis la configuration aux "defaults settings" et ça marchait à nouveau.
Un scan avec ad-aware a encore trouvé plusieurs malware que spybot ne mentionne pas. Pourquoi vous n'utilisez pas Ad-aware? Est-ce qu'il y a quelque chose de mauvais la-dans?
3) voilà un dernier rapport de Hijackthis (après tous les spybot et ad-aware runs)

Scan saved at 12:25:59, on 02/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijackthis\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Je commençais à aimer le problème. Je suis presque triste que c'est résolu.
Je suis surtout frustrée que je ne comprends pas tout-à-fait les procédures et que je ne sais pas interpréter le hijackthis rapports moi-même.
Avez-vous quelques indications? où commencer? conseils?
Au revoir et MERCI! ;)
répondre
jean-chretien1 le 02 septembre 2005 à 14h29
Bonjour zig_zag,

c'est beaucoup mieux au niveau de ton rapport :)

encore quelques lignes à cocher, puis "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab

quand tu as fait ça, tu redémarres, puis tu relances CCleaner de suite.
Ensuite tu observes dans un nouveau scan si ces 3 lignes ont bien disparu.

Si c'est le cas, passe à cette étape :

Poste un rapport antivirus

http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

C'est la moindre des précautions quand on a hérité d'un rapport aussi "infecté que le tien". On ne le répètera jamais assez mais HijackThis ne montre pas tout.

Pour ce qui est de SpywareBlaster, c'est une très bonne idée. Dans ton cas, tu aurais évité de récolter toutes ces lignes O16 hostiles, les contrôles activeX.
- Spywareblaster :
Téléchargement : http://www.javacoolsoftware.com/sbdownload.html
Consignes : http://www.ordi-netfr.org/tutorialspywareblaster.php ou
http://forum.pcastuces.com/sujet.asp?SUJET_ID=185543&page=1�

Pour ce qui est de Firefox, encore une excellente idée. D'ailleurs avec lui, plus de problèmes d'activeX. Mais cela ne rendra pas inutile SpywareBlaster pour autant puisqu'il a d'autres fonctionnalités.

On a pas encore fini de toutes façons donc j'arrete là et attends les résultats du rapport.
Je te donnerais d'autres indications quand ce sera terminé, pour tes autres questions..
répondre
zig_zag le 03 septembre 2005 à 03h43
:salut: bonjour J-C
Ce n'est pas fini!
voilà le rapport ActiveScan:
Incident Statut Analyse

Adware:adware/mywebsearch No Désinfecté C:\WINDOWS\SYSTEM32\f3PSSavr.scr
Spyware:spyware/betterinet No Désinfecté C:\WINDOWS\SYSTEM32\in10b6s.dll
Adware:adware/p2pnetworking No Désinfecté C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl
Adware:adware/ncase No Désinfecté C:\WINDOWS\SYSTEM32\saieau.dat
Adware:adware/favoriteman No Désinfecté C:\WINDOWS\DOWNLOADED PROGRAM FILES\ATPartners.inf
Adware:adware/statblaster No Désinfecté C:\WINDOWS\DOWNLOADED PROGRAM FILES\WildApp.inf
Dialer:dialer.b No Désinfecté C:\WINDOWS\p2esocks_1045.dll
Adware:adware/twain-tech No Désinfecté C:\WINDOWS\smdat32m.sys
Adware:adware/navipromo No Désinfecté Registre Windows
Virus:W32/Kelvir.CU.worm No Désinfecté C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\eMule\Incoming\Chaos.league-mort-subite crack no cd.rar[Eurofake.exe]
Adware:Adware/P2PNetworking No Désinfecté C:\Documents and Settings\Mr Vanisacker\Local Settings\Temp\p2psetup.exe
Adware:Adware/WebHancer No Désinfecté C:\Documents and Settings\Mr Vanisacker\Local Settings\Temp\wh_cc.exe[whAgent.inf]
Adware:Adware/WebHancer No Désinfecté C:\Documents and Settings\Mr Vanisacker\Local Settings\Temp\wh_cc.exe[whInstaller.ini]
Dialer:Dialer.B No Désinfecté C:\Documents and Settings\Mr Vanisacker\Local Settings\Temporary Internet Files\Content.IE5\RP8C480J\EGAUTH_1045_FR_XP[1].cab[eg_auth_1045.dll]
Adware:Adware/FunWeb No Désinfecté C:\Hijackthis\backups\backup-20050902-000328-706.dll
Adware:Adware/MyWay No Désinfecté C:\Hijackthis\backups\backup-20050902-000328-877.dll
Adware:Adware/MyWebSearch No Désinfecté C:\Hijackthis\backups\backup-20050902-000328-899.dll
Dialer:Dialer.B No Désinfecté C:\Hijackthis\backups\backup-20050902-000330-306.dll
Adware:Adware/FunWeb No Désinfecté C:\Program Files\MSN Messenger\riched20.dll
Adware:Adware/NetPals No Désinfecté C:\WINDOWS\Downloaded Program Files\ATPartners.inf
Adware:Adware Program No Désinfecté C:\WINDOWS\Downloaded Program Files\WildApp.inf
Dialer:Dialer.B No Désinfecté C:\WINDOWS\p2esocks_1045.dll
Dialer:Dialer.AVV No Désinfecté C:\WINDOWS\system\BHOmod.dll
Adware:Adware/FunWeb No Désinfecté C:\WINDOWS\system32\f3PSSavr.scr
Adware:Adware/WinTools No Désinfecté C:\WINDOWS\system32\grwinsthlp.exe
Adware:Adware/MBKWBar No Désinfecté C:\WINDOWS\system32\MB.dll
Adware:Adware/MBKWBar No Désinfecté C:\WINDOWS\system32\mbkwnst.exe
Adware:Adware/P2PNetworking No Désinfecté C:\WINDOWS\system32\P2P Networking v126.cpl
Virus:Trj/Downloader.AZI Désinfecté C:\WINDOWS\system32\SSK_B5_MVSSK5.EXE
Virus:Trj/Downloader.AZI Désinfecté C:\WINDOWS\system32\TdABS273.dll
Je n'ai pas encore éliminé le ver. Le scan se présentait un peu different de votre description. Et dans leur rubrique aide ils disent que quand ils ne dèsinfectent pas automatiquement le fichier eux-mêmes, ils proposent à l'utilisateur une methode pour le faire. Je n'ai pas trouvé ça. Leur library entry sur Kelvir.CU worm me paraît dire simplement "supprimer" + procedure pour éviter qu'il se restorera.
(n'y avait il pas un article dans microhebdo sur ce worm?)

Norton antivirus a aussi détecté 3 Bloodhound.Exploit.6 virus dans les Hijachthis/backups. (Pas deinfecté non plus) Ce sont juste les restes d'une désinfection par hijack, n'est-ce pas? Encore re-re-éliminer?

à bientôt !
répondre
jean-chretien1 le 03 septembre 2005 à 13h22
Bonjour,

1/ Télécharge

- Télécharge RegSearch
http://www.bleepingcomputer.com/files/misc/regsearch.zip
Dézippe le sur le bureau, c'est tout.

- Killbox: http://www.bleepingcomputer.com/files/spyware/KillBox.zip

2/ Dézippe Pocket killbox sur le bureau
Ouvre le Bloc-notes et copie colle le texte suivant, sans les tirets :

------------------------
C:\WINDOWS\SYSTEM32\f3PSSavr.scr
C:\WINDOWS\SYSTEM32\in10b6s.dll
C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl
C:\WINDOWS\SYSTEM32\saieau.dat
C:\WINDOWS\DOWNLOADED PROGRAM FILES\ATPartners.inf
C:\WINDOWS\DOWNLOADED PROGRAM FILES\WildApp.inf
C:\WINDOWS\p2esocks_1045.dll
C:\WINDOWS\smdat32m.sys
C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\eMule\Incoming\Chaos.league-mort-subite crack no cd.rar[Eurofake.exe]
C:\Documents and Settings\Mr Vanisacker\Local Settings\Temp\p2psetup.exe
C:\Documents and Settings\Mr Vanisacker\Local Settings\Temp\wh_cc.exe[whAgent.inf]
C:\Documents and Settings\Mr Vanisacker\Local Settings\Temp\wh_cc.exe
C:\Documents and Settings\Mr Vanisacker\Local Settings\Temp\wh_cc.exe[whInstaller.ini]
C:\Documents and Settings\Mr Vanisacker\Local Settings\Temp\wh_cc.exe
C:\Documents and Settings\Mr Vanisacker\Local Settings\Temporary Internet Files\Content.IE5\RP8C480J\EGAUTH_1045_FR_XP[1].cab[eg_auth_1045.dll]
C:\Documents and Settings\Mr Vanisacker\Local Settings\Temporary Internet Files\Content.IE5\RP8C480J\EGAUTH_1045_FR_XP[1].cab
C:\Hijackthis\backups\backup-20050902-000328-706.dll
C:\Hijackthis\backups\backup-20050902-000328-877.dll
C:\Hijackthis\backups\backup-20050902-000328-899.dll
C:\Hijackthis\backups\backup-20050902-000330-306.dll
C:\Program Files\MSN Messenger\riched20.dll
C:\WINDOWS\Downloaded Program Files\ATPartners.inf
C:\WINDOWS\Downloaded Program Files\WildApp.inf
C:\WINDOWS\p2esocks_1045.dll
C:\WINDOWS\system\BHOmod.dll
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\grwinsthlp.exe
C:\WINDOWS\system32\MB.dll
C:\WINDOWS\system32\mbkwnst.exe
C:\WINDOWS\system32\P2P Networking v126.cpl
C:\WINDOWS\system32\SSK_B5_MVSSK5.EXE
C:\WINDOWS\system32\TdABS273.dll
-------------------------------------------------------------------

Ouvre PocketKillBox, coche la case "Delete on reboot". Ne ferme pas le programme.
Sur PocketKillBox> File> Paste from Clipboard, clique ensuite sur la croix blanche sur fond rouge
Au deux messages qui vont s'afficher, réponds oui
L'ordinateur doit redémarrer. Sinon fais-le toi-même.

3/ Redémarre en mode sans échec, lance Ccleaner et vérifie que tous les fichiers ci-dessus ont disparu. Si non, tu les supprimes.
Pour ceux qui étaient dans C:\WINDOWS\DOWNLOADED PROGRAM FILES même s'ils sont encore là, tu ne les verrras pas avec l'explorateur Windows.

4/ Redémarre, normalement ensuite.

- double clique sur RegSearch.exe
- copie colle ceci :
udyzsx.exe
dans la zone de recherche et clique sur OK
- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées
- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
Recommence la manip avec ces termes :
nem220
wsem303
04fodc5b
navipromo
smdat32m
- ferme RegSearch par Cancel
- copie-colle le contenu des fenêtres dans un post, ici
- ferme le bloc-notes

5/ Poste avec ça un rapport HijackThis, ainsi qu'un rapport Panda. Ca en fait des rapports !
répondre
zig_zag le 04 septembre 2005 à 20h18
:salut: Bonj J-C1
Pas encore tout-a-fait résolu.
J'ai ue quelques problèmes avec Regsearch. D'abord avec le un-zippement.
C'était pas simplement extraire les fichiers comme je faisait avant mais avec le winzip progam j'ai ue quand-même un dossier avec un regseach.exe.
mais l'execution va mal. ça semble se lancer, met un bloc-note (comme suivant)
etaprès quelques instants ça se bloque (avec enumerating ...) répond plus,même pas après 2 h.

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 04/09/2005 15:18:08 for strings:
; 'navipromo'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

2) nouveau pop-up en ouvrant une seesion:
Rundll cherche EGDACCESS_1063.dll

3)le Hijack rapport:
Logfile of HijackThis v1.99.1
Scan saved at 17:42:57, on 04/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Hijackthis\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

4)le activirus rapport:
Incident Statut Analyse

Adware:adware/ncase No Désinfecté C:\WINDOWS\SYSTEM32\saie_gdf.dat
Adware:adware/p2pnetworking No Désinfecté Registre Windows
Virus:W32/Kelvir.CU.worm No Désinfecté C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\eMule\Incoming\Chaos.league-mort-subite crack no cd.rar[Eurofake.exe]
5) ce dossier avec le virus est le seul avec lquel j'avais du mal à controler si le fichier était éliminé . J'ai du mal avec Winzip program.

6) Pendant le activescan Norton antivirus annonce encore Bloodhound dans C:Hijack..... \Backup-200050902-000329-200 Non desinfecté.
et c:HIja.. \BA78FB~1 Acces au fichier refusé.

J'ai executé tout de votre réponse à la lettre mais je suppose que j'aurais du shredder et vider la poubelle encore quelques fois???

à bientôt (j'espère qu' il vous reste encore un peu d'energie...)

répondre
jean-chretien1 le 04 septembre 2005 à 22h22
Bonsoir,

pour RegSearch, il faut lui laisser le temps de chercher, éviter de toucher quoique ce soit pendant qu'il scanne : il peut y avoir jusqu'à 500000 clés dans le registre, donc patience !
Relance les recherches, et tu ajoutes ce terme :
p2pnetworking

-----------------

Ensuite,

C:\WINDOWS\SYSTEM32\saie_gdf.dat <- supprime
C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\eMule\Incoming\Chaos.league-mort-subite crack no cd.rar <- supprime, tout simplement

Vide ta corbeille.

Supprime les backups de HijackThis signalés par Norton, au besoin, en mode sans échec.

Poste les rapports.
répondre
zig_zag le 07 septembre 2005 à 12h23
:salut: Bonjour J-C1,
Merci encore pour me répondre partout.
RegSearch a apparement un little bug. Il fait son travaille, mais s'il ne trouve rien avec keys,values et data coché, il bloque à la fin et on on ne peut le quitter que par le petit croix, ne répond pas etc...
Le P2Pnetworking string a résolu tout parce que quand il trouve quelque chose dans son dernier tour (le premier entry) tout va bien, on peut refaire le search et arrêter avec cancel.

a part de P2Pnetworking il n' a pas trouvé les autres suspects.

Voilà mon dernier Hijackthis et Panda après autres supprims.
Logfile of HijackThis v1.99.1
Scan saved at 11:14:10, on 07/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

et le Panda
Incident Statut Analyse

Adware:adware/ncase No Désinfecté C:\WINDOWS\SYSTEM32\FLEOK
Adware:adware/navipromo No Désinfecté Registre Windows Le FLEOK dossier est déja vide
De navipromo je n'ai rien trouvé mais ils sont bien quelques part et le dicco de panda ne donne pas d'autres noms.

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 07/09/2005 00:46:01 for strings:
; 'p2pnetwork'
; '04fodc5b'
; 'navipr'
; 'udzsx'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\P2P Networking\JcdeAgent\P2PNetworkingGUI]

; End Of The Log...

J' ai laissé le P2Pnetworking pour pouvoir travailler avec le Regsearch.
les bonnes nouvelles:
Plus de virus dans les rapports
Tout fonctionne encore bien

Les mauvaises nouvelles:
- encore plein de Adware
- les Hijackthis sont toujours plus longs (et je n' en comprends rien)
- Adware-SE bloque à nouveau (et les defaults ne le mettent pas en marche)


;) à bientôt! (je reste sur ton dos ...)
P.S. est-ce que je change mon pseudo de "zig_zag" en "marche_arrière"?
répondre
jean-chretien1 le 07 septembre 2005 à 16h31
Bonjour zig_zag,

on a bien avancé !

1/ Pour commencer, lance regedit, puis supprime cette clé en gras

HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\P2P Networking

Supprime ensuite ce dossier, même s'il est vide.

C:\WINDOWS\SYSTEM32\FLEOK éventuellement en mode sans échec.

et vide ta corbeille.

2/ Regsearch : lance une recherche de ces termes :

egdaccess
egdhtml
fleok

Poste les 2 rapports

3/ Précise : "encore plein de Adware " quels sont les noms ?

Lance ad-aware en mode sans échec si tu y parviens, normalement il fonctionne bien dans ce mode. Supprime tout ce qu'il te propose.
Quand tu dis "il bloque", c'est sur un fichier en particulier ?

répondre
zig_zag le 08 septembre 2005 à 01h18
:salut: Bonjour J-C1
J'ai supprimé la clé P2PNetworking
suppr FLEOK
vidé corbeille

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 08/09/2005 00:27:12 for strings:
; 'egdaccess'
; 'egdhtml'
; 'fleok'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/EGDACCESS_1063.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"C:\\WINDOWS\\System32\\EGDACCESS_1063.dll"=dword:00000001

; End Of The Log...

Run Ad-aware en sans-échec et ça a fonctionné.
Quelle est le 2ièm rapport que vous voulez?

La suite sur les popups (casino, rencontres,ivitations pour un scan d'ordi, etc) est pour demain.
A demain et merci.
répondre
zig_zag le 08 septembre 2005 à 12h15
:salut: Rebonjour J-C1:
J'ai continué mon travaille de hier un peu:
J'ai lu un peu le Hijack-tutorial et j'apprends.Je n'ai pas encore osé de fixer qqchose moi-même.

J'ai run Spybot à nouveau et peut-être détruit le casino pop-up,qqchose de Hotbar et de Magiccontrol.
Les fenêtres fond blanc qui disent que la moitié des ordinateurs de zone... sont infectés et qui invite a clicker ici pour nettoyer
est encore là

Run CWShredder rien.

Le Regsearch est resté le même avec les 1063...entries.
Je suis très prudente et j'attends votre aide pour savoir quoi eliminer exactement (valeur?clé?)

Voilà le dernier Hijack
Logfile of HijackThis v1.99.1
Scan saved at 11:32:14, on 08/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Mr Vanisacker\Bureau\Jeux\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Comme j'ai dit, je n'ai encore rien osé là-dans
;) à bientôt?
répondre
jean-chretien1 le 08 septembre 2005 à 12h31
Bonjour zig_zag,

le rapport HijackThis est ok.
Ne corrige rien avec HijackThis si tu n'es pas sure de toutes façons. Ca peut faire des dégâts si on commet une erreur.

Fais ceci :

démarrer/exécuter et colle ceci :
regsvr32 /u c:\windows\system32\EGDACCESS_1063.dll
ok

---------

Lance regedit, supprime les clés/sous clés en gras suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/WINDOWS/System32/EGDACCESS_1063.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
C:\\WINDOWS\\System32\\EGDACCESS_1063.dll"=dword:00000001

Quand tu as terminé, ferme regedit, et redémarre l'ordinateur.

----------------------

Si tu trouves un répertoire C:\Program files\Instant Access, supprime-le et vide ta corbeille.

-----------------------

Donc tu n'as rien trouvé avec RegSearch pour Egdhtml ?
Tente aussi avec ce terme :
instant access


-----------------------

Si tu n'as rien trouvé, Poste un autre rapport Panda pour voir.
répondre
zig_zag le 08 septembre 2005 à 14h13
:salut: rerbonjour j-c1
pour le exec là, il répond :library introuvable.
J'ai oublié de dire peut-être que la plus part du temps après demarrer j'ai un pop-up:
Rundll n' a pas trouvé egdaccess_1063.dll .
ça veut dire que je l'ai déja supprimé n'est-ce-pas?

...Est-ce que j'utilise le bon bouton pour répondre?
répondre
jean-chretien1 le 08 septembre 2005 à 14h35
ok, ce n'est pas grave de toutes façons. Supprime les clés de registre et redémarre.
Vérifie si tu as toujours cette pop-up
répondre
zig_zag le 08 septembre 2005 à 15h59
:salut:
jean-chretien1 a écrit :
ok, ce n'est pas grave de toutes façons. Supprime les clés de registre et redémarre.
Vérifie si tu as toujours cette pop-up

O.K. le pop-up EGDACCES.1066 n'était plus là cette fois.
Mais "les meileurs casinos en ligne - Microsoft internet explorer" pop-up juste maintenant...
Je les avais pourtant éliminés avec Spybot

et
REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 08/09/2005 15:31:42 for strings:
; 'instant access'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Instant Access]

; End Of The Log...

Je n'ai pas trouvé de dossier c:\program files\instant access
(Est-une répertoire la même chose qu'un dossir?)
répondre
jean-chretien1 le 08 septembre 2005 à 16h25
Hello,

oui un répertoire, c'est un dossier jaune quoi :)

Supprime cette clé en gras

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Instant Access

Redémarre l'ordinateur.

Poste encore un rapport Panda, pour voir ou on en est.
répondre
zig_zag le 09 septembre 2005 à 01h26
jean-chretien1 a écrit :
Hello,

oui un répertoire, c'est un dossier jaune quoi :)

Supprime cette clé en gras

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Instant Access

Redémarre l'ordinateur.

Poste encore un rapport Panda, pour voir ou on en est.

:salut: bonjour j-c1
j'ai éliminé instant access key

juste en-desous il y avait une clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Internet Optimizer Active Alert]
???utile comme info

Panda log donne adware/navipromo registre
mais je ne le trouve pas avec regsearch. J'ai aussi essayé tout les clés et noms de fichiers qui sont dans un article de symantic que j'ai googlé. Rien.
:chepa:
Est-ce qu'on peut trouver de l'information dans le nom des cookies associés avec ces sites?
à bientôt.
répondre
page précédente  1 - 2 - 3 - 4
ou aller à la page
 page suivante


À PROPOS DU FORUM MICRO HEBDO

LES FORUMS THÉMATIQUES ET TECHNIQUES

LES FORUMS GÉNÉRAUX

ARCHIVES DU FORUM

Forum de Micro Hebdo / Questions techniques diverses / Autre/ Pop-up avec nouvelle session Inst access, kazaa (resolu)
publicité
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.