LE NEWSMAGAZINE Nº1 DES NOUVELLES TECHNOLOGIES
213 utilisateurs connectés
Forum de Micro Hebdo / Questions techniques diverses / Autre/ Pop-up avec nouvelle session Inst access, kazaa (resolu)
 |
page précédente |
1 - 2 - 3 - 4 |
page suivante |  |
Pop-up avec nouvelle session Inst access, kazaa (resolu)
jean-chretien1
le 12 septembre 2005 à 23h52
Bonsoir,
plus aucune trace hostile dans ce rapport.
Pour les cookies, je vois que tu as eu une autre réponse.
Tu peux les interdire depuis ton navigateur; Si tu utilises Super-Passoire,
outils/options internet/confidentialité, et là tu entres le nom des sites dont tu ne veux pas les cookies.
Qu'en est-il du reste ?
plus aucune trace hostile dans ce rapport.
Pour les cookies, je vois que tu as eu une autre réponse.
Tu peux les interdire depuis ton navigateur; Si tu utilises Super-Passoire,
outils/options internet/confidentialité, et là tu entres le nom des sites dont tu ne veux pas les cookies.
Qu'en est-il du reste ?
répondre
zig_zag
le 13 septembre 2005 à 00h40
jean-chretien1 a écrit :
Bonsoir, plus aucune trace hostile dans ce rapport.
Pour les cookies, je vois que tu as eu une autre réponse.
Tu peux les interdire depuis ton navigateur; Si tu utilises Super-Passoire,
outils/options internet/confidentialité, et là tu entres le nom des sites dont tu ne veux pas les cookies.
Qu'en est-il du reste ?
Bonsoir J-C1 Je suis très contente. Aujourd'hui je n'ai plus vu d'invitations au casino ni de fake Microsoft warnings.
Je reste avec pop-up RUNDLL: module EGDACCESS_1063.dll introuvable en ouvrant les sessions des autres utilisateurs de l'ordi.
Le fichier EGDA...dll , je ne le trouve pas non plus mais
comme je disais dans la réponse d'avant:(je le copie)
...
"J' avais l'espoir de le fixer moi-même mais, comme les clés/valeurs sont différentes de celles utilisées dans la reponse de 08/09/05 je suis à nouveau perdu. Est-ce que je retrouverais les deux clés à éliminer si j' exécuterais d'abord la ligne regsvr32 /u...... ? (Qu'est-ce que ça signifie en faite?)
....
et il reste aussi le problème de Msn qui se connecte tout seule.
A bientôt?
(J'espère que vous avez encore le temps, je vois qu'il y a plusieurs autres qui demandent votre aide. J'espère que ça marche aussi bien chez eux que chez moi.)
Mille merci déjà
et je me mets à étudier comment utiliser HJT et Spybot moi-même.
jean-chretien1
le 13 septembre 2005 à 00h55
il est pénible celui-là...
est-ce que tu as un répertoire C:\Program Files\Instant Access ?
est-ce que tu as un répertoire C:\Program Files\Instant Access ?
zig_zag
le 13 septembre 2005 à 01h51
Bonjour J-C1 (une deuxième réponse, il vient de manger ma première..)
Je ne vois pas le dossier C:\Program Files\Instant Access mais une recherche indique un instantaccess dans c:/docs et set../Mr V/ menu démarrer.
Il y a en effet un raccourcis dans le déroulement detous les programmes des autres utilisateurs et quand je clique la-dessus çà donne:
impossible de trouver
file:///c:/Program%20Files/Instant%20 ACCeSS/Dir../8533 .... Index.htm
Il y a aussi des icons et un instantaccess.upd
(Zut ça se mets en rouge, est-ce que je crée un lien sans le vouloir?)
Faut-il juste supprimer le raccourcis ou est-ce que je le vois trop simple?
-->Message édité par zig_zag le 13/09/2005 01:57:59<--
jean-chretien1
le 13 septembre 2005 à 01h55
non c'est bien, depuis le début tout ce que tu dis est très pertinent, bravo 
Donc
C:\Documents and Settings\Mr V\Menu Démarrer\instantaccess <- tu le supprimes
Pour les autres emplacements, donne moi les chemins exacts, stp (clic droit sur le fichier/propriétés)
Donc
C:\Documents and Settings\Mr V\Menu Démarrer\instantaccess <- tu le supprimes
Pour les autres emplacements, donne moi les chemins exacts, stp (clic droit sur le fichier/propriétés)
zig_zag
le 13 septembre 2005 à 02h22
jean-chretien1 a écrit :
non c'est bien, depuis le début tout ce que tu dis est très pertinent, bravo Donc
C:\Documents and Settings\Mr V\Menu Démarrer\instantaccess <- tu le supprimes
Pour les autres emplacements, donne moi les chemins exacts, stp (clic droit sur le fichier/propriétés)
Dans recherche je trouve: 1) IAmosaic: C:\Documents and Settings\Mr V\Menu Démarrer
C'est un raccourci cible PROGRAM Files\Instant Access\Dialer\8533957655\inex.htm
2) IAmosaic InstantAccess.lnk raccourci dans DesktopIcons/
3) IAmosaic InstantAccess.lnk raccourci dans Center/Icons/
4) AImosaic Instantaccess.upd fichier UPD dans center/
C'est 1) que je supprime ?
jean-chretien1
le 13 septembre 2005 à 02h29
1/ tu peux le supprimer.
pour les autres j'aimerais bien connaitre le chemin complet
exemple : C:\docs and settings\.....\InstantAccess.lnk
IAmosaic ? ou as-tu vu ça ?
pour les autres j'aimerais bien connaitre le chemin complet
exemple : C:\docs and settings\.....\InstantAccess.lnk
IAmosaic ? ou as-tu vu ça ?
zig_zag
le 13 septembre 2005 à 02h38
Rebonsoir J-C1, Je vais rester avec cela pour aujourd'hui. Je suis déjà en ralentie et je tape bcp de fautes...
C'est trop tard pour moi (2h30) .
Mes excuses, mais j'ai apparemment moins d'energie que vous.
Très bonne nuit et à demain?
jean-chretien1
le 13 septembre 2005 à 02h43
Mes excuses, mais j'ai apparemment moins d'energie que vous.
Très bonne nuit et à demain?
Très bonne nuit et à demain?
moi aussi
bonne nuit, à demain
zig_zag
le 13 septembre 2005 à 02h55
jean-chretien1 a écrit :
1/ tu peux le supprimer. pour les autres j'aimerais bien connaitre le chemin complet
exemple : C:\docs and settings\.....\InstantAccess.lnk
IAmosaic ? ou as-tu vu ça ?
un dernier bonsoir, AImosaic est ma façon d'indiquer que il y a un mosaïc (ou petite icon) pour Instant Access.(stupide de ma part)
Je n'arrive plu à lui forcer à mettre le chemin complet. Ni avec click-prpriété, ni avec recherche ,click bulle ,ni à main .Probablement erreur de fatigue parce que j'affiche les fichiers etc cachés.
à demain?
Bonne nuit.
zig_zag
le 13 septembre 2005 à 10h58
Bonjour J-C1 J'étais en effet trop fatiguée. J'ai trouvé les chemins avec click dr->ouvrir le dossier parent et grimpant l'arbre. Je n'étais pas assez lucide pur ça hier soir. Alors ils passent par zipped archives comme ça:
c:\Documents and Settings\All Users\Application Data\Spybot_Search&Destroy\Recovery\ConnectMFCApplication.zip
qui contient 45 archives dont
Desktop Icons\Instantaccess.lnk
Center\Icons\Instantaccess.lnk
Center\Instantaccess.upd
Il y a naturellement tous les autres truc que Spybot a éliminés: DyFuCa..,Hotbar,Magic...
a plus tard! -->Message édité par zig_zag le 13/09/2005 11:10:50<--
jean-chretien1
le 13 septembre 2005 à 12h58
Bonjour
zig_zag,
ok, donc tu peux vider la quarantaine de Spybot (menu "sauvegardes"/"purger les éléments sélectionnés", bien sur il faut les sélectionner)...
et maintenant que tu as supprimé C:\Documents and Settings\Mr V\Menu Démarrer\instantaccess, as-tu toujours ce message au démarrage ?
zig_zag,
ok, donc tu peux vider la quarantaine de Spybot (menu "sauvegardes"/"purger les éléments sélectionnés", bien sur il faut les sélectionner)...
et maintenant que tu as supprimé C:\Documents and Settings\Mr V\Menu Démarrer\instantaccess, as-tu toujours ce message au démarrage ?
zig_zag
le 13 septembre 2005 à 14h47
Bonjour J-C1,
Oui, j'ai (plutôt les autres ont) toujours le RUNDLL pop-up:
EGDACCESS_1063.dll module ... introuvable
Est-ce que purge tous les sauvgardes? Est-ce que c'est pas util du tout ces sauvegardes pour retrouver des traces des méchants?
(je crains qu'il y a encore des méchants.. j'étais juste en train de décider si je vous envoyerais oui ou non un message privé pour encore de l'aide
).
à +tard?
Oui, j'ai (plutôt les autres ont) toujours le RUNDLL pop-up:
EGDACCESS_1063.dll module ... introuvable
Est-ce que purge tous les sauvgardes? Est-ce que c'est pas util du tout ces sauvegardes pour retrouver des traces des méchants?
(je crains qu'il y a encore des méchants.. j'étais juste en train de décider si je vous envoyerais oui ou non un message privé pour encore de l'aide
). à +tard?
-->Message édité par zig_zag le 13/09/2005 15:03:51<--
jean-chretien1
le 13 septembre 2005 à 15h24
tu peux vider la quarantaine de Spybot sans regret, il n'y a que des saletés dedans.
Tu refais un Silent Runners, stp ? je sais que c'est lourd mais bon...
ensuite regarde dans
C:\Documents and Settings\tous les identifiants\Menu Démarrer\Programmes\Démarrage\
si quelque chose te parait bizarre (instant acces, egdacces.....) dis moi le nom.
Tu refais un Silent Runners, stp ? je sais que c'est lourd mais bon...
ensuite regarde dans
C:\Documents and Settings\tous les identifiants\Menu Démarrer\Programmes\Démarrage\
si quelque chose te parait bizarre (instant acces, egdacces.....) dis moi le nom.
zig_zag
le 13 septembre 2005 à 15h55
Bonj J-C1
cette fois ci silentrunners avec click"non" pour extra search:
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"ccApp" = "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" ["Symantec Corporation"]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NeroCheck" = "C:\WINDOWS\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"EPSON Stylus Photo R300 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON
Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"" ["SEIKO EPSON CORPORATION"]
"Quick Time Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe" [null data]
"SSC_UserPrompt" = "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec
Corporation"]
"Symantec Netdriver Monitor" = "C:\Program Files\SymNetDrv\SNDMon.exe" ["Symantec Corporation"]
"MimBoot" = "C:\Program Files\Musicmatch\Musicmatch Jukebox\mimboot.exe" ["Musicmatch, Inc."]
"MMTray" = ""C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"" ["Musicmatch, Inc."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty
string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking
Limited"]
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = "ST" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll" [MS]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll"
["Symantec Corporation"]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRVI~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Colline verdoyante.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Startup items in "Vera" & "All Users" startup folders:
------------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"InterVideo WinCinema Manager" -> shortcut to: "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty
string]
"WinZip Quick Pick" -> shortcut to: "C:\Documents and Settings\Mr V\Bureau\Jeux\WinZip\WZQKPICK.EXE" ["WinZip
Computing, Inc."]
Enabled Scheduled Tasks:
------------------------
"Norton AntiVirus - Analyser mon ordinateur - Vera" -> launches: "C:\PROGRA~1\NORTON~2\NORTON~1\Navw32.exe
/task:"C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec
Corporation"]
"Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll"
["Symantec Corporation"]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll"
["Symantec Corporation"]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Messenger"
"Exec" = "C:\Program Files\Messenger\MSMSGS.EXE" [MS]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
ISSvc, ISSVC, "C:\Program Files\Norton Internet Security\ISSVC.exe" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
SAVScan, SAVScan, "C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe" ["Symantec Corporation"]
Service Norton AntiVirus Auto-Protect, navapsvc, ""C:\Program Files\Norton Internet Security\Norton
AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, "C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe"
["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"" ["Symantec
Corporation"]
Symantec Network Drivers Service, SNDSrvc, "C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe"
["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe"" ["Symantec
Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe""
["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, "C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe"
["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
voilà le démarrage...
Dans C:\Doc&Set..\MrV\...........Démarrage ilya un raccorci vers MyWebSearch Email Plugin
chez aucun des autres utilisateurs il n'y a pas.
Une recherche montre qu'il n'y a pas de Mywebsearch truc sauf dans des backup et ls recovery files de Spybot
à plus tard!
Dans All users Il y avait un raccorci vers Winzip Quick Pick. M'inquiète aussi ce winzip... ça fait partie de l'autre problème que je voudrais commencer.
cette fois ci silentrunners avec click"non" pour extra search:
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"ccApp" = "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" ["Symantec Corporation"]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NeroCheck" = "C:\WINDOWS\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"EPSON Stylus Photo R300 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON
Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"" ["SEIKO EPSON CORPORATION"]
"Quick Time Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe" [null data]
"SSC_UserPrompt" = "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec
Corporation"]
"Symantec Netdriver Monitor" = "C:\Program Files\SymNetDrv\SNDMon.exe" ["Symantec Corporation"]
"MimBoot" = "C:\Program Files\Musicmatch\Musicmatch Jukebox\mimboot.exe" ["Musicmatch, Inc."]
"MMTray" = ""C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"" ["Musicmatch, Inc."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty
string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking
Limited"]
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = "ST" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll" [MS]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll"
["Symantec Corporation"]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRVI~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\MRV~1\BUREAU\JEUX\WINZIP\WZSHLSTB.DLL" ["WinZip
Computing, Inc."]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Colline verdoyante.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Startup items in "Vera" & "All Users" startup folders:
------------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"InterVideo WinCinema Manager" -> shortcut to: "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty
string]
"WinZip Quick Pick" -> shortcut to: "C:\Documents and Settings\Mr V\Bureau\Jeux\WinZip\WZQKPICK.EXE" ["WinZip
Computing, Inc."]
Enabled Scheduled Tasks:
------------------------
"Norton AntiVirus - Analyser mon ordinateur - Vera" -> launches: "C:\PROGRA~1\NORTON~2\NORTON~1\Navw32.exe
/task:"C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec
Corporation"]
"Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll"
["Symantec Corporation"]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll"
["Symantec Corporation"]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll"
["Symantec Corporation"]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Messenger"
"Exec" = "C:\Program Files\Messenger\MSMSGS.EXE" [MS]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
ISSvc, ISSVC, "C:\Program Files\Norton Internet Security\ISSVC.exe" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
SAVScan, SAVScan, "C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe" ["Symantec Corporation"]
Service Norton AntiVirus Auto-Protect, navapsvc, ""C:\Program Files\Norton Internet Security\Norton
AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, "C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe"
["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"" ["Symantec
Corporation"]
Symantec Network Drivers Service, SNDSrvc, "C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe"
["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe"" ["Symantec
Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe""
["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, "C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe"
["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
voilà le démarrage...
Dans C:\Doc&Set..\MrV\...........Démarrage ilya un raccorci vers MyWebSearch Email Plugin
chez aucun des autres utilisateurs il n'y a pas.
Une recherche montre qu'il n'y a pas de Mywebsearch truc sauf dans des backup et ls recovery files de Spybot
à plus tard!
Dans All users Il y avait un raccorci vers Winzip Quick Pick. M'inquiète aussi ce winzip... ça fait partie de l'autre problème que je voudrais commencer.
-->Message édité par zig_zag le 13/09/2005 16:36:45<--
jean-chretien1
le 13 septembre 2005 à 18h27
ok. celui-là tu peux le supprimer -> MyWebSearch Email Plugin
Sinon je me demande ce qui réclame cette dll au démarrage, on a quand même bien fouillé jusqu'à présent.... y compris dans le registre.
Relance avec regsearch (sans inclure ce qui est entre parenthèse, c'est juste pour me rappeler):
instant access
instantaccess
egdaccess
egdhtml
ndxkmyj
WMCRRS
Heznlwm
nem220 (.dll)
wsem303 (.dll)
udyzsx (.exe)
et reposte un rapport Panda (ça faisait longtemps)
Sinon je me demande ce qui réclame cette dll au démarrage, on a quand même bien fouillé jusqu'à présent.... y compris dans le registre.
Relance avec regsearch (sans inclure ce qui est entre parenthèse, c'est juste pour me rappeler):
instant access
instantaccess
egdaccess
egdhtml
ndxkmyj
WMCRRS
Heznlwm
nem220 (.dll)
wsem303 (.dll)
udyzsx (.exe)
et reposte un rapport Panda (ça faisait longtemps)
zig_zag
le 13 septembre 2005 à 23h32
Bonsoir j-C1 Mon ordi est malade, Regsearch très malade AND/OR moi je devient folle!
1)Le Pop-up RUNDLL trouve pas EGDACCESS_1063.dll est encore là , toujours à l'ouverture de session de mon fils.
2)J'ai de gros problèmes avec Reg search :Òu moi ou le programme ne fonctionne pas: Voilà quelques rapports :
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 13/09/2005 21:25:45 for strings:
; 'instant access'
; 'instantaccess'
; 'egdaccess'
; 'egdhtml'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"002"="Instant access"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"006"="EGDACCESS_1063.dll"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"007"="egdaccess"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"c"="regsvr32 /u c:\\windows\\system32\\EGDACCESS_1063.dll\\1"
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 13/09/2005 21:31:55 for strings:
; 'ndxkmyj'
; 'wmcrrs '
; 'heznlwm'
; 'nem220'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj]
"UninstallString"="c:\\windows\\system32\\ndxkmyj.exe -uninstall"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj]
"DisplayName"="ndxkmyj"
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 13/09/2005 21:36:21 for strings:
; 'wsem303'
; 'udyzsx'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 13/09/2005 21:38:38 for strings:
; 'wsem303'
; 'udyzsx'
; 'egdhtml'
; 'ndxkmyj '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML]
; End Of The Log...
remarquez que il ne trouve pas de ndxkmyj entries dans le 4ième rapport
mais il en trouve dans le 2ième.
Qu'est-ce que je fais là???
En plus j' ai fait ces RegSearch il y a quelques jours et si je n'ai pas poster tous les rapports ces parce que ils mentionnaient rien!
Est-ce possible qu'il y a tant d'intrus pendant le temps que je run silentrunner? (Norton demande permission et je le donne pour 1 fois le program)
Je reviens dans une demi-heure avec mon panda.
zig_zag desespéré...
jean-chretien1
le 13 septembre 2005 à 23h42
Bonsoir zig_zag.
Pas mal de personnes ont des problèmes avec regsearch, j'avoue ne pas trop comprendre pourquoi.
Enfin, il y a des résultats, déjà.
------------------
On dirait que des valeurs sont revenues, où c'est moi ?
1/ Avant toute chose, si tu trouves dans ajout/suppression de programmes ce qui suit :
ndxkmyj
tu le désinstalles. S'il te propose d'aller sur un site à ce moment là, refuse et arrête la procédure.
Si tu trouves un répertoire C:\Program Files\ndxkmyj, tu le supprimes et vide ta corbeille.
2/Hors connexion, supprime ce qui est en gras :
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"002"="Instant access"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"006"="EGDACCESS_1063.dll"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"007"="egdaccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
"c"="regsvr32 /u c:\\windows\\system32\\EGDACCESS_1063.dll\\1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML
3/ Redémarre l'ordinateur et dis ce qu'il en est de cette maudite fenetre egdhtml.
Pas mal de personnes ont des problèmes avec regsearch, j'avoue ne pas trop comprendre pourquoi.
Enfin, il y a des résultats, déjà.
------------------
On dirait que des valeurs sont revenues, où c'est moi ?
1/ Avant toute chose, si tu trouves dans ajout/suppression de programmes ce qui suit :
ndxkmyj
tu le désinstalles. S'il te propose d'aller sur un site à ce moment là, refuse et arrête la procédure.
Si tu trouves un répertoire C:\Program Files\ndxkmyj, tu le supprimes et vide ta corbeille.
2/Hors connexion, supprime ce qui est en gras :
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"002"="Instant access"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"006"="EGDACCESS_1063.dll"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"007"="egdaccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
"c"="regsvr32 /u c:\\windows\\system32\\EGDACCESS_1063.dll\\1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML
3/ Redémarre l'ordinateur et dis ce qu'il en est de cette maudite fenetre egdhtml.
zig_zag
le 14 septembre 2005 à 01h02
Bonsoir J-C1, Voici le Panda
Incident Statut Analyse
Adware:adware/navipromo No Désinfecté C:\WINDOWS\SYSTEM32\msclock32.dll
Adware:adware/mediatickets No Désinfecté Registre Windows
Adware:Adware/NaviPromo No Désinfecté C:\WINDOWS\system32\msclock32.dll
Adware:Adware/NaviPromo No Désinfecté C:\WINDOWS\system32\msplock32.dll Je n'ai pas encore fais le devoir ci-dessus.
Au sujet du MyWebSearch Email Plug in que j'ai supprimé tout-à-l'heure, C'était un racourci vers un programme MWSOEMON.EXE-274C947D.pf dans le dossier c:\WINDOWS\Preftech\
Est-ce que j'essaie de desinstaller cela aussi?
Erreur de desinstallation pour ndxkyj.. Cet élément est peut-être déjà desinstallé.
Voulez vous enlever ndxkyj.. de la liste de ajout/suppr programmes?
Je click OUI où non? pas important je pense non...
à plus tard.
-->Message édité par zig_zag le 14/09/2005 01:22:56<--
jean-chretien1
le 14 septembre 2005 à 01h27
On avance,
Avant de faire la manip suivante, fais ceci :
regsearch -> 3 termes à rechercher :
mediatickets
msclock32
msplock32
Poste ces 3 rapports et je te donnerais la suite.
edit > oublie dans ce cas la désinstall de ndxky, on va le faire direct dans le registre, après.
Avant de faire la manip suivante, fais ceci :
regsearch -> 3 termes à rechercher :
mediatickets
msclock32
msplock32
Poste ces 3 rapports et je te donnerais la suite.
edit > oublie dans ce cas la désinstall de ndxky, on va le faire direct dans le registre, après.
-->Message édité par jean-chretien1 le 14/09/2005 01:28:24<--
zig_zag
le 14 septembre 2005 à 02h24
jean-chretien1 a écrit :
On avance, Avant de faire la manip suivante, fais ceci :
regsearch -> 3 termes à rechercher :
mediatickets
msclock32
msplock32
Poste ces 3 rapports et je te donnerais la suite.
edit > oublie dans ce cas la désinstall de ndxky, on va le faire direct dans le registre, après.
Bonsoir,
J' ai supprimé 4ndxkyj fichiers, recheche se comporte un peu bizarre après parce que il en trouve maintenant 16 déjà supprimé. c'est pas grave
Pour le registre: je vais arrêter ce soir parce que je ne vois plus de mes yeux
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\ n'existe pas
tous les valeurs 002, 006 etc son different mais tout les maudits sont là avec un nom (numero) différent: ndxky.. Instant Access, WMCCRS etc
ce dossiers est probablement interessant.
Est-ce que vous pourriez éclairer ces différences demain?
Je suis désolée mais je ne peux vraiment plus.
Merci encore pour tout l'aide et
Bonne nuit
zig_zag
le 14 septembre 2005 à 12h12
Bonjour jean-chretien1, j'espérais me réveiller en trouvant que le 13 septembre n'était qu'un cauchemar.
Mais non,ça continue...
La remarque sur les clés/valeurs de registre introuvables où différentes, reste valable.(comme ma dernière réponse hier-soir où ce matin)
Comment l'interpréter? existe-t-il une option pour regedit de montrer plus? les super-cachés ou déguisés?
Bon mes suivant Regedits:
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 14/09/2005 11:37:18 for strings:
; 'mediatickets'
; 'msclock32'
; 'msplock32'
; 'hotbar'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Hotbara]
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 14/09/2005 11:30:30 for strings:
; 'mediatickets'
; 'msclock32'
; 'msplock32'
; 'egd'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CatSrv.RegDBCompensator]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CatSrv.RegDBCompensator]
@="RegDBCompensator Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CatSrv.RegDBCompensator\CLSID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Catsrv.RegDBCompensator.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Catsrv.RegDBCompensator.1]
@="RegDBCompensator Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Catsrv.RegDBCompensator.1\CLSID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB39A782-E5E4-11D1-8CC0-00C04FC3261D}]
@="RegDBCompensator Class"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB39A782-E5E4-11D1-8CC0-00C04FC3261D}\ProgID]
@="Catsrv.RegDBCompensator.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB39A782-E5E4-11D1-8CC0-00C04FC3261D}\VersionIndependentProgID]
@="CatSrv.RegDBCompensator"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CB39A774-E5E4-11D1-8CC0-00C04FC3261D}\1.0]
@="RegDBCrm 1.0 Type Library"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3]
"RegDBAutoBackUp"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3]
"REGDBVersion"=hex:07,00,00,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB828741\Filelist\24]
"FileName"="migregdb.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegDone"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\MusicMatch\MusicMatch Jukebox\4.0\BurnCD]
"DefaultDriverOrder"="3MmcDrvSTG;MmcDrvSTG;LegDrvSTG"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"009"="EGDACCESS_1063.dll"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"010"="egdaccess"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"c"="regsvr32 /u c:\\windows\\system32\\EGDACCESS_1063.dll\\1"
; End Of The Log...
Il y a 2 rapports et ils sont longs car quand je trouvais rien, j'ai ajouté des strings . Je vous ai expliqué avant que Regsearch semble chercher plus intensivement quand il a déjà trouvé quelque chose.
Un dernier Norton Antivirus scan trouve seulement un adware hotbar.dll temp.
qu'est-ce que je fais ????????????????????????
Au revoir.
jean-chretien1
le 14 septembre 2005 à 12h57
Bonjour zig_zag,
quelle histoire !
Il va falloir faire les manips en mode sans échec.
Est-ce que tu aurais un deuxième ordinateur, à tout hasard ?
---------------------
Supprime Regsearch de ton ordinateur, puis retélécharge le
http://www.bleepingcomputer.com/files/misc/regsearch.zip
dézip' sur le bureau
télécharger KillBox http://www.downloads.subratam.org/KillBox.exe
dézippe sur le bureau.
Quitte internet, démarre en mode sans échec.
Lancer killbox.exe
Cocher le bouton"Delete on Reboot "
Coller la première ligne ci-dessous :
C:\WINDOWS\SYSTEM32\msclock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
Coller la deuxième ligne ci-dessous :
C:\WINDOWS\system32\msclock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
Coller la troisième ligne ci-dessous :
C:\WINDOWS\system32\msplock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
lance regsearch et mets ces termes, mais un par un (pas par liste)
mediatickets
msclock32
msplock32
ndxkmyj
EGDHTML
egdaccess
instant access
instantaccess
Si tu as un deuxième ordinateur, l'idéal serait que copies/colles ce que te trouve regsearch (sur une disquette) et que tu l'envoies sur le forum via le second pc, ceci, en restant en mode sans échec, avec la fenetre regedit ouverte..
Sinon tant pis, poste le résultat quand même.
quelle histoire !
Il va falloir faire les manips en mode sans échec.
Est-ce que tu aurais un deuxième ordinateur, à tout hasard ?
---------------------
Supprime Regsearch de ton ordinateur, puis retélécharge le
http://www.bleepingcomputer.com/files/misc/regsearch.zip
dézip' sur le bureau
télécharger KillBox http://www.downloads.subratam.org/KillBox.exe
dézippe sur le bureau.
Quitte internet, démarre en mode sans échec.
Lancer killbox.exe
Cocher le bouton"Delete on Reboot "
Coller la première ligne ci-dessous :
C:\WINDOWS\SYSTEM32\msclock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
Coller la deuxième ligne ci-dessous :
C:\WINDOWS\system32\msclock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
Coller la troisième ligne ci-dessous :
C:\WINDOWS\system32\msplock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
lance regsearch et mets ces termes, mais un par un (pas par liste)
mediatickets
msclock32
msplock32
ndxkmyj
EGDHTML
egdaccess
instant access
instantaccess
Si tu as un deuxième ordinateur, l'idéal serait que copies/colles ce que te trouve regsearch (sur une disquette) et que tu l'envoies sur le forum via le second pc, ceci, en restant en mode sans échec, avec la fenetre regedit ouverte..
Sinon tant pis, poste le résultat quand même.
zig_zag
le 14 septembre 2005 à 13h08
Merci J-C1 pour les réponses rapides. Je vous admire pour la tenacité!
Je n'ai pas de deuxième ordi
la réponse avec les nouveaux rapports sera pour (bcp) plus tard.
Au revoir.
jean-chretien1
le 14 septembre 2005 à 13h10
ok. Ce n'est pas grave, j'ai une autre idée, suivants les prochains résultats.
A+ tard
A+ tard
zig_zag
le 14 septembre 2005 à 16h25
jean-chretien1 a écrit :
ok. Ce n'est pas grave, j'ai une autre idée, suivants les prochains résultats. A+ tard
HELLO,jean-chrétien1 (chaque fois que je me lets devant mon ordi,j'espère que vous êtes là aussi
c'est à nouveau un peu inattendu:
je n'ai pas encore commencé au boulot de votre réponse de 14/09/05 12H57 .
Il s' agit à nouveau de votre réponse de 13/O9/05 à 23h42.
J' ai regedite le régistre avec plusieurs sessions ouvert en même temps
(j'avais changé d'utilisateur sans fermer la session en XP)
alors on trouve tout les clés que vous demandez de supprimer. Il s'agit apparrement de clés temporaire associé avec la session de mon fils
Il y a p.e. les
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
Les valeurs par contre dans ..../searchassistant/ACMRu 5603.. ont changé
il y en a p.e. 002 content.IE5
003 P2P
004 Aphex.exe
dans mon ACMRU winzip, ndxkmy,MWSOEMON.exe EGDACCESS ...WMCRRS etc
Ils me parraissent entries de recherches (evid searchassistent..)
mais ce sont des recherches , ou Regsearches?, que je n' ai pas fait aujourd'hui.
pourquoi temporaire alors??? qu'est-ce que je fais :
Mes devoirs de hier (en attaquant les valeurs comment?)
où directement devoir d'aujourd'hui
à bientôt!
jean-chretien1
le 14 septembre 2005 à 20h40
Bonsoir zig_zag. Il faudrait faire un point. Ou en es-tu, actuellement ?
Il faudrait que tu recherches dans le registre tous les termes précédents.
Avant de faire la manip "14/09/2005 12:57:03", qui me semble la plus importante, j'aimerais que tu me dises si ces noms de fichiers apparaissent dans le registre.
A savoir, ceux-là :
mediatickets
msclock32
msplock32
ndxkmyj
EGDHTML
egdaccess
instant access
instantaccess
Il faudrait que tu recherches dans le registre tous les termes précédents.
Avant de faire la manip "14/09/2005 12:57:03", qui me semble la plus importante, j'aimerais que tu me dises si ces noms de fichiers apparaissent dans le registre.
A savoir, ceux-là :
mediatickets
msclock32
msplock32
ndxkmyj
EGDHTML
egdaccess
instant access
instantaccess
zig_zag
le 15 septembre 2005 à 14h31
Bonjour J-C1 Mes excuses pour la réponse tardive, mais les mercredis il y n'y a pas 24h dans la journée.
Voilà mes recherches pour les derniers strings:
comme je sens quelques doutes de votre coté concernant mes capacités et/ou ma volonté de chercher, je copie les rapports de RegSearch complets avec tout le bazar de commentaires etc.
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 14/09/2005 23:51:12 for strings:
; 'mediatickets'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 14/09/2005 23:53:39 for strings:
; 'msclock32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 14/09/2005 23:56:21 for strings:
; 'msplock32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 15/09/2005 00:08:01 for strings:
; 'instantaccess'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 15/09/2005 00:09:48 for strings:
; 'instant access'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"005"="Instant access"
; End Of The Log...
EGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 15/09/2005 00:04:37 for strings:
; 'egdhtml'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML]
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 15/09/2005 00:06:10 for strings:
; 'egdaccess'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"009"="EGDACCESS_1063.dll"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"010"="egdaccess"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"c"="regsvr32 /u c:\\windows\\system32\\EGDACCESS_1063.dll\\1"
; End Of The Log...
La raison pour ne pas trouver certaines clés, c'est que le régistre est différent selon les sessions ouvertes.
Ainsi la clé [HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004
est seulement là quand la session de mon fils est aussi ouverte. La mienne 1006 . J' ai controlé cela à main et c'est cela ce que le rapprt de REGEDIT montre quand je travaille avec seulement ma seesion ouverte.
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 15/09/2005 00:19:07 for strings:
; 'egdaccess'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"009"="EGDACCESS_1063.dll"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"010"="egdaccess"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"c"="regsvr32 /u c:\\windows\\system32\\EGDACCESS_1063.dll\\1"
; End Of The Log...
Je n'ai rien fait d' autre de mes devoirs. Je reste pour le moment avec cette version de Regsearch, parce que ils viennent en Zip et j'ai déjà plusieurs programmes que j'ai téléchargé et unzipped qui me mettent le "nest pas une application Win32 valide" message.
J' attends votre signe pour continuer eventuellement avec le killbox devoir décrit dans votre réponse de 14/09.
à bientôt!
-->Message édité par zig_zag le 15/09/2005 14:54:55<--
jean-chretien1
le 15 septembre 2005 à 14h36
Bonjour zig_zag
D'accord, dans ce cas, quand tu fais les recherches, laisse la fenetre regedit ouverte, comme ça on supprime direct.
Supprime ce qui est en gras :
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"005"="Instant access"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"009"="EGDACCESS_1063.dll"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"010"="egdaccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
"c"="regsvr32 /u c:\\windows\\system32\\EGDACCESS_1063.dll\\1"
Redémarre, dis moi ce qu'il en est.
Recommence avec les autres sessions (la recherche et poste les rapports)
D'accord, dans ce cas, quand tu fais les recherches, laisse la fenetre regedit ouverte, comme ça on supprime direct.
Supprime ce qui est en gras :
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"005"="Instant access"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\EGDHTML
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Instant Access"="rundll32.exe EGDACCESS_1063.dll,InstantAccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"009"="EGDACCESS_1063.dll"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"010"="egdaccess"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
"c"="regsvr32 /u c:\\windows\\system32\\EGDACCESS_1063.dll\\1"
Redémarre, dis moi ce qu'il en est.
Recommence avec les autres sessions (la recherche et poste les rapports)
jean-chretien1
le 15 septembre 2005 à 14h56
comme je sens quelques doutes de votre coté concernant mes capacités et/ou ma volonté de chercher
mais non pas du tout, désolé d'avoir donné cette impression. Ce serait même le contraire
zig_zag
le 15 septembre 2005 à 15h25
rebonjour, Je ne suis pas assez rapide pour ce jeux.! Je vient de perdre encore un message , tapé le mauvais bouton?
Je commence toute suite à supprimer ces clés mais la seule chose qui m'inquite sont les valeurs du type "900 = EGDA..." (p.e)
C'est pas pour la valeur même que j' hésite à les supprimer (ce n'est que search history n'est-ce pas), mais il me semble qu'ils sont dans une sorte de linked liste dont le nombre de entries est une valeur d'une autre clé.
Est-ce qu'on peut supprimer une sans plus ? est-ce que ça ce rearrange de soi-même?
au revoir.
jean-chretien1
le 15 septembre 2005 à 15h27
fais une capture d'écran, on verra mieux comme ça :
Méthode pour déposer une image sur le forum
- Capturer l'image à l'aide de la touche impr.ecran (à droite de la touche F12 en général)
- démarrer/tous les progs/accessoires/paint
- édition>coller
veille à ce que la taille de l'image ne dépasse pas 1Mo (recadre pour qu'on ne voit que la partie qui nous intéresse)
fichier>"enregistrer sous" (le nom que tu veux), type = jpeg (enregistre la dans le bureau)
rendez-vous ensuite ici http://www.imageshack.ws/
clique sur "parcourir", et vas chercher ton image sur le bureau
clique sur "host it"
patiente le temps du téléchargement
dans la nouvelle fenêtre qui s'ouvre, copie le lien "direct link to image" et colle-le dans ta prochaine réponse.
---------------
Méthode pour déposer une image sur le forum
- Capturer l'image à l'aide de la touche impr.ecran (à droite de la touche F12 en général)
- démarrer/tous les progs/accessoires/paint
- édition>coller
veille à ce que la taille de l'image ne dépasse pas 1Mo (recadre pour qu'on ne voit que la partie qui nous intéresse)
fichier>"enregistrer sous" (le nom que tu veux), type = jpeg (enregistre la dans le bureau)
rendez-vous ensuite ici http://www.imageshack.ws/
clique sur "parcourir", et vas chercher ton image sur le bureau
clique sur "host it"
patiente le temps du téléchargement
dans la nouvelle fenêtre qui s'ouvre, copie le lien "direct link to image" et colle-le dans ta prochaine réponse.
---------------
zig_zag
le 15 septembre 2005 à 17h31
Rebonjour, Mes excuses ,je n'avais pas vu cette dernière message. Merci pour la procedure de capture de l'écran, je ne la connaissais pas.
Entretemps j'avais dèja supprimé clés et valeurs EGDACCES redémarré et...
Tout va bien
Plus de pop-ups
(il y manquent maintenant quelques numeros dans la liste de valeurs acmru mais ça fait apparrement rien.
En inspectant le régistre j'ai vu qu'il y a encore plein d' ancien- méchants comme P2P networking etc. Raté en travaillant dans une seule session ou revenu?
je ne sais plus.
voila une rapide regsearch:
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 14/09/2005 23:59:51 for strings:
; 'ndxkmyj'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ndxkmyj]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj]
"UninstallString"="c:\\windows\\system32\\ndxkmyj.exe -uninstall"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj]
"DisplayName"="ndxkmyj"
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 15/09/2005 16:48:54 for strings:
; 'p2p networking'
; 'p2pgui'
; 'instafin'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C91E8926-D4BE-4685-99F4-0D996B96BAC0}\InProcServer32]
@="C:\\WINDOWS\\System32\\P2P Networking\\MARSHAL.DLL"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC7A6223-3759-4075-8CEA-971F5CFC0ED2}\LocalServer32]
@="C:\\WINDOWS\\System32\\P2P Networking\\P2P Networking.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended
Properties\{305CA226-D286-468e-B848-2B2E8E697B74} 2]
"%SystemRoot%\\System32\\P2P Networking v126.cpl"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking]
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Clients]
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Clients]
"P2PGUI_9639EF0C-2178-4d8f-BD67-21F0103EFE45"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History]
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\Dirs]
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\Dirs]
"C:\\WINDOWS\\System32\\P2P Networking"="C:\\WINDOWS\\System32\\P2P Networking"
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\Dirs]
"C:\\WINDOWS\\System32\\P2P Networking\\Cache"="C:\\WINDOWS\\System32\\P2P Networking\\Cache"
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\Files]
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\Files]
"C:\\WINDOWS\\System32\\P2P Networking\\MARSHAL.DLL"="C:\\WINDOWS\\System32\\P2P
Networking\\MARSHAL.DLL"
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\Files]
"C:\\WINDOWS\\System32\\P2P Networking\\P2P Networking.eng"="C:\\WINDOWS\\System32\\P2P Networking\\P2P
Networking.eng"
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\Files]
"C:\\WINDOWS\\System32\\P2P Networking v126.cpl"="C:\\WINDOWS\\System32\\P2P Networking v126.cpl"
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\Files]
"C:\\WINDOWS\\System32\\P2P Networking\\P2P Networking.exe"="C:\\WINDOWS\\System32\\P2P Networking\\P2P
Networking.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\P2P Chunks]
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\P2P Chunks]
"Marshal file"="C:\\WINDOWS\\System32\\P2P Networking\\MARSHAL.DLL"
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\P2P Chunks]
"ENG Language File"="C:\\WINDOWS\\System32\\P2P Networking\\P2P Networking.eng"
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\P2P Chunks]
"CPL file"="C:\\WINDOWS\\System32\\P2P Networking v126.cpl"
[HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking\Installation History\P2P Chunks]
"P2P Networking file"="C:\\WINDOWS\\System32\\P2P Networking\\P2P Networking.exe"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\INSTAFINK]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\INSTAFINK\Reports]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\INSTAFINK\Reports\38455]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\INSTAFINK\Stat]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P Networking]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P Networking\JcdeAgent]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P Networking\JcdeAgent\Channels]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P
Networking\JcdeAgent\Channels\Channel10]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P Networking\JcdeAgent\Connection]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P
Networking\JcdeAgent\Connection\Bandwidth]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P
Networking\JcdeAgent\Connection\Firewall]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P
Networking\JcdeAgent\Connection\Uptime]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P Networking\JcdeAgent\FileManager]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P Networking\JcdeAgent\FileManager]
"CacheDir"="C:\\Documents And Settings\\Mr Vanisacker\\P2P Networking\\Cache"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P Networking\JcdeAgent\FileManager]
"DatabaseDir"="C:\\Documents And Settings\\Mr Vanisacker\\P2P Networking\\Cache\\Database\\"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P
Networking\JcdeAgent\FileManager\Downloads]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P
Networking\JcdeAgent\P2PNetworkingGUI]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P
Networking\JcdeAgent\P2PNetworkingGUI]
"MainExe"="C:\\WINDOWS\\System32\\P2P Networking\\P2P Networking.exe"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P
Networking\JcdeAgent\P2PNetworkingGUI\DownloadHistory]
; End Of The Log...
Comment est-ce que je continue? J'ai plein de choix: killbox, supprimer les autres clés, capture de l'écran?
à plus tard? (je suis obligé d' arrêter un peu)
jean-chretien1
le 15 septembre 2005 à 17h50
ok, en premier, on supprime ce qui est en gras :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ndxkmyj
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C91E8926-D4BE-4685-99F4-0D996B96BAC0}
d'abord tu exportes la clé {C91E8926-D4BE-4685-99F4-0D996B96BAC0} et après tu la supprimes.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC7A6223-3759-4075-8CEA-971F5CFC0ED2}
d'abord tu exportes la clé {CC7A6223-3759-4075-8CEA-971F5CFC0ED2} et après tu la supprimes.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended Properties\{305CA226-D286-468e-B848-2B2E8E697B74} 2]
"%SystemRoot%\\System32\\P2P Networking v126.cpl"=dword:00000003
HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\INSTAFINK
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P Networking
Voilà, tu fermes l'éditeur de registre, après avoir fait tout ça.
--------------------------------------------
Puis tu passes à Killbox, je te rappelle la manip :
Lancer killbox.exe
Cocher le bouton"Delete on Reboot "
Coller la première ligne ci-dessous :
C:\WINDOWS\SYSTEM32\msclock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
Coller la deuxième ligne ci-dessous :
C:\WINDOWS\system32\msclock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
Coller la troisième ligne ci-dessous :
C:\WINDOWS\system32\msplock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI
Au redémarrage, supprime le dossier C:\!Submit.
et tu me dis comment ça s'est passé.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ndxkmyj
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ndxkmyj
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C91E8926-D4BE-4685-99F4-0D996B96BAC0}
d'abord tu exportes la clé {C91E8926-D4BE-4685-99F4-0D996B96BAC0} et après tu la supprimes.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC7A6223-3759-4075-8CEA-971F5CFC0ED2}
d'abord tu exportes la clé {CC7A6223-3759-4075-8CEA-971F5CFC0ED2} et après tu la supprimes.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended Properties\{305CA226-D286-468e-B848-2B2E8E697B74} 2]
"%SystemRoot%\\System32\\P2P Networking v126.cpl"=dword:00000003
HKEY_LOCAL_MACHINE\SOFTWARE\P2P Networking
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\INSTAFINK
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\P2P Networking
Voilà, tu fermes l'éditeur de registre, après avoir fait tout ça.
--------------------------------------------
Puis tu passes à Killbox, je te rappelle la manip :
Lancer killbox.exe
Cocher le bouton"Delete on Reboot "
Coller la première ligne ci-dessous :
C:\WINDOWS\SYSTEM32\msclock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
Coller la deuxième ligne ci-dessous :
C:\WINDOWS\system32\msclock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON
Coller la troisième ligne ci-dessous :
C:\WINDOWS\system32\msplock32.dll
Cliquer sur la croix rouge
« will be Deleted on Next Reboot » Répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI
Au redémarrage, supprime le dossier C:\!Submit.
et tu me dis comment ça s'est passé.
zig_zag
le 16 septembre 2005 à 01h22
CHER jean-chrétien1 Je pense que c'est le moment de dire "cher" J-C1
car TOUT VA BIEN!
je commence à croire que vous avez résolu mon pop-up problème.
encore quelques petits détails avant le control final:
le C:\!submit je comprends peut-être pas la notation
supprimer 3 bpt_submit fichiers dans c:\Docs & sets\....
et un submit GIF ?
Il y a encore une etrange clé juste après le deleted P2P Networking clé
HKEY_LOCAL_MACHINE\SOFTWARE\Q903235
Ca vous dit quelque chose?
et aussi:
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Hotbar
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\MyWebSearch
Est ce que ce sont pas aussi des truques à éliminer?
Très bonne nuit et à demain?
jean-chretien1
le 16 septembre 2005 à 12h37
Bonjour zig_zag,
Il n'y a qu'un et un seul dossier à supprimer, il se trouve dans C:\ et se nomme :
!Submit
C:\!Submit rien d'autre.
------------------
Encore une fois, c'est bien vu,
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Hotbar
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\MyWebSearch
Supprime ce qui est en gras, ci-dessus.
----------------
Pour celle la, je n esais pas, qu'y a-t-il dans le panneau de droite ?
HKEY_LOCAL_MACHINE\SOFTWARE\Q903235
Il n'y a qu'un et un seul dossier à supprimer, il se trouve dans C:\ et se nomme :
!Submit
C:\!Submit rien d'autre.
------------------
Encore une fois, c'est bien vu,
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Hotbar
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\MyWebSearch
Supprime ce qui est en gras, ci-dessus.
----------------
Pour celle la, je n esais pas, qu'y a-t-il dans le panneau de droite ?
HKEY_LOCAL_MACHINE\SOFTWARE\Q903235
zig_zag
le 17 septembre 2005 à 02h38
Bonjour J-C1 Juste un seul bonjour et bonne nuit aujourd'hui.
Il me paraît que vous êtes un peu sceptique au sujet des résultats.
Pas un seul
ou dans votre réponse? Moi je suis pourtant très content. Même si ça n'est pas 100% résolu, c'est bien avancé! On peut toujours restaurer à une date anterieur si ça tourne mal, ou pas?
Les clés Hotbar et MyWebSearch: je les avais déjà supprimées.
Le c:\!Submit , je ne le trouve toujours pas .Sauf si ! peut représenter autre chose comme une *.
Les 3btn_Submit et le Submit que j'avais éliminé hier,ne sont plus dans le corbeille. (Je ne l'ai portant pas vidé) Mais je pense que ce n'est pas grave.
C'étaient que des GIF imeges . Et il y a des autres qui ont aparu dans un dossier temp.
Cette Q903235 clé, ce n'est pas a supprimer je pense.
Ce qui m' inquiète un peu, c'est que ma RECHERCHE est légèrement malade.
Quand on veut arrêter une recherche, le bouton annuler va gris et il continue a chercher encore quelques temps, 5 à 10 secondes. Mais il finit par réagir .
C' est tout pour le moment.
Encore une très bonne nuit et à bientôt!
-->Message édité par zig_zag le 17/09/2005 02:48:39<--
jean-chretien1
le 17 septembre 2005 à 13h00
Salut zig_zag,
pour Q903235 je pense que c'est tout simplment un correctif Windows, donc on va le laisser tranquille
pour c:\!Submit c'est bizarre que tu ne le trouves pas. La manip avec killbox s'est bien déroulée ? Tu peux refaire un scan Panda, pour le vérifier, ou encore rechercher ces fichiers msclock32, etc.
Pour la recherche, ça se produit depuis quand et à quelle fréquence ?
pour Q903235 je pense que c'est tout simplment un correctif Windows, donc on va le laisser tranquille
pour c:\!Submit c'est bizarre que tu ne le trouves pas. La manip avec killbox s'est bien déroulée ? Tu peux refaire un scan Panda, pour le vérifier, ou encore rechercher ces fichiers msclock32, etc.
Pour la recherche, ça se produit depuis quand et à quelle fréquence ?
zig_zag
le 18 septembre 2005 à 01h57
Salut J-C1, J'ai encore fait unpanda et la seule chose qui reste est le navipromo dans le registre.
Comme c'est seulement à la fin que j' ai su l'importance de ouvrir la session de tous les utilisateurs, j'ai ouvert toutes les sessions et fait regsearch avec les chaines du début hotbar, P2P etc
Les clés principales sont déjà supprimés mais il y des restes. Pourriez vous aider encore to clean up?
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 18/09/2005 00:52:55 for strings:
; 'p2pnetwork'
; 'instant access'
; 'mywebsearch'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00A6FAF6-072E-44cf-8957-5838F569A31D}\InprocServer32]
@="C:\\Program Files\\MyWebSearch\\SrchAstt\\3.bin\\MWSSRCAS.DLL"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}\InprocServer32]
@="C:\\Program Files\\MyWebSearch\\bar\\3.bin\\MWSBAR.DLL"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Internet Explorer\MenuExt\&Search]
@="http://bar.mywebsearch.com/menusearch.html?p=ZZ"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"MyWebSearch Email Plugin"="C:\\PROGRA~1\\MYWEBS~1\\bar\\3.bin\\mwsoemon.exe"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1005\Software\Microsoft\Internet Explorer\MenuExt\&Search]
@="http://bar.mywebsearch.com/menusearch.html?p=ZZ"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]
; End Of The Log...
REGEDIT4
; Registry Search by Bobbi Flekman
; Version: 1.0.2.1
; Results at 18/09/2005 01:05:21 for strings:
; 'p2p'
; 'msclock'
; 'dyfuca'
; 'hotbar'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JCDE_Stack]
@="P2P Stack for Joltid Content Distribution Environment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JCDE_Stack.1]
@="P2P Stack for Joltid Content Distribution Environment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1FA4B99F-3155-4A26-837B-9734C1297A1B}\1.0]
@="P2P Platform API Type Library"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Hotbara]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Internet Explorer\Explorer Bars\{BECAFC17-BAF9-11D4-B492-00D0B77F0A6D}]
@="Hotbar Information Window"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603]
"004"="P2P"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"User Agent"="Mozilla/4.0 (compatible; MSIE 6.0; Win32; Hotbar4.5.3.0)"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"User Agent"="Mozilla/4.0 (compatible; MSIE 6.0; Win32; Hotbar4.5.3.0)"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Kazaa\Channels\P2P]
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Kazaa\Channels\P2P]
"DisplayName"="P2P Recherche"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"001"="msclock"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List]
"File1"="C:\\Documents and Settings\\Vera\\Mes documents\\VirusScanP2P.rtf"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
; End Of The Log...
!Submit reste introuvable
Avec rechercher je peux vivre avec ça (ou ça disparaît peu-à-peu?)
à bientôt?
jean-chretien1
le 18 septembre 2005 à 02h24
Bonsoir zig_zag,
hé bien ce registre était sacrément pollué !
Hors connexion, fais un clic droit sur ce fichier/installer. Tu ne verras rien se passer.
-----------------------
Comme d'habitude, supprime ce qui est en gras (certaines clés peuvent avoir disparu du fait de l'installation de DelDomains) :
Exporte
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00A6FAF6-072E-44cf-8957-5838F569A31D}
Exporte
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Internet Explorer\MenuExt\&Search]
@="http://bar.mywebsearch.com/menusearch.html?p=ZZ"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run
"MyWebSearch Email Plugin"="C:\\PROGRA~1\\MYWEBS~1\\bar\\3.bin\\mwsoemon.exe"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1005\Software\Microsoft\Internet Explorer\MenuExt\&Search]
@="http://bar.mywebsearch.com/menusearch.html?p=ZZ"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JCDE_Stack]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JCDE_Stack.1
Exporte
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Hotbara
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Internet Explorer\Explorer Bars\{BECAFC17-BAF9-11D4-B492-00D0B77F0A6D}
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Kazaa
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"001"="msclock"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
---------------------------------------------------
Pour ces deux là, on va faire ça :
a) HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"User Agent"="Mozilla/4.0 (compatible; MSIE 6.0; Win32; Hotbar4.5.3.0)"
b) [HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"User Agent"="Mozilla/4.0 (compatible; MSIE 6.0; Win32; Hotbar4.5.3.0)"
a) va à la clé HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Fais un clic droit/exporter sur la clé Internet Settings
tu la mets sur ton bureau par exemple.
Dans le panneau de droite, fais un clic droit sur la valeur "User Agent"/modifier et à la place de la valeur, tu mets ceci :
Mozilla/4.0 (compatible; MSIE 6.0; Win32)
b) Fais un clic droit/exporter sur la clé Internet Settings
tu la mets sur ton bureau par exemple.
Dans le panneau de droite, fais un clic droit sur la valeur "User Agent"/modifier et à la place de la valeur, tu mets ceci :
Mozilla/4.0 (compatible; MSIE 6.0; Win32)
-------------------------------------
--------------------------------------
je te félicite pour la façon avec laquelle tu as pris les devants tout au long de ce topic.
hé bien ce registre était sacrément pollué !
Faites un clic droit (bouton droit de la souris) sur le lien ci-dessous, et choisissez "Enregistrer sous"
Enregistrez-le dans un endroit aisé à retrouver (par exemple directement sur le bureau ou dans c:\DelDomains.inf)
http://www.mvps.org/winhelp2002/DelDomains.inf
Assiste.com
Enregistrez-le dans un endroit aisé à retrouver (par exemple directement sur le bureau ou dans c:\DelDomains.inf)
http://www.mvps.org/winhelp2002/DelDomains.inf
Assiste.com
Hors connexion, fais un clic droit sur ce fichier/installer. Tu ne verras rien se passer.
-----------------------
Comme d'habitude, supprime ce qui est en gras (certaines clés peuvent avoir disparu du fait de l'installation de DelDomains) :
Exporte
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00A6FAF6-072E-44cf-8957-5838F569A31D}
Exporte
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Internet Explorer\MenuExt\&Search]
@="http://bar.mywebsearch.com/menusearch.html?p=ZZ"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run
"MyWebSearch Email Plugin"="C:\\PROGRA~1\\MYWEBS~1\\bar\\3.bin\\mwsoemon.exe"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1005\Software\Microsoft\Internet Explorer\MenuExt\&Search]
@="http://bar.mywebsearch.com/menusearch.html?p=ZZ"
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JCDE_Stack]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JCDE_Stack.1
Exporte
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Hotbara
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Internet Explorer\Explorer Bars\{BECAFC17-BAF9-11D4-B492-00D0B77F0A6D}
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Kazaa
HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Search Assistant\ACMru\5603
"001"="msclock"
[HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotbar.com]
---------------------------------------------------
Pour ces deux là, on va faire ça :
a) HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"User Agent"="Mozilla/4.0 (compatible; MSIE 6.0; Win32; Hotbar4.5.3.0)"
b) [HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"User Agent"="Mozilla/4.0 (compatible; MSIE 6.0; Win32; Hotbar4.5.3.0)"
a) va à la clé HKEY_USERS\S-1-5-21-1229272821-789336058-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Fais un clic droit/exporter sur la clé Internet Settings
tu la mets sur ton bureau par exemple.
Dans le panneau de droite, fais un clic droit sur la valeur "User Agent"/modifier et à la place de la valeur, tu mets ceci :
Mozilla/4.0 (compatible; MSIE 6.0; Win32)
b) Fais un clic droit/exporter sur la clé Internet Settings
tu la mets sur ton bureau par exemple.
Dans le panneau de droite, fais un clic droit sur la valeur "User Agent"/modifier et à la place de la valeur, tu mets ceci :
Mozilla/4.0 (compatible; MSIE 6.0; Win32)
-------------------------------------
--------------------------------------
je te félicite pour la façon avec laquelle tu as pris les devants tout au long de ce topic.
|
page précédente |
1 - 2 - 3 - 4 |
page suivante | |
À PROPOS DU FORUM MICRO HEBDO
LES FORUMS THÉMATIQUES ET TECHNIQUES
- Matériels |
- Logiciels |
- Windows, Linux, Mac et les autres... |
- Questions techniques diverses |
- Internet, réseaux et high tech |
- Photo numérique
LES FORUMS GÉNÉRAUX
ARCHIVES DU FORUM
publicité
Messages des modérateurs
Discussions les plus actives
- point d'entrée de procédure gdigetbitmapbitssize [résolu]
- Disque D plein. Comment faire de la place. [résolu]
- [RESOLU] Virus supprimés mais dossier conteneur récalcitrant
- system security kesko?(resolu)
- Il reboot, Internet explorer doit fermer, Acrobat reader HS
- USB malade?
- consequences du virus "antivirus A360" [ RESOLU ]
- navigation internet très lente [RESOLU]
- problèmes avec trojan downloader.js
- Mise à jour Ccleaner [résolu]
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Nous contacter
|
Charte de confiance
|
Voir notice légale
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
Tous droits réservés © 1999 - 2009 Internext - 01net.