Tuto Pratique HijackThis

Je peux quand même répondre ? :spamafote:



File Missing = Ficher manquant

Voilà ma solution pour log n° 4



aller dans panneau de configuration-> ajout suppression de programmes

S'il y a une entrée "NewNet" ou "NewDotNet", désinstaller.



Fixer les lignes



O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitegsb32.exe



O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup –s



S’assurer que l’on a accès aux dossiers et fichiers cachés et supprimer le fichier en gras

C:\windows\system32\elitegsb32.exe



Vider la corbeille



Redémarrer le pc



Quant aux lignes



O4 - Global Startup: Compaq Connections.lnk.disabled

O4 - Global Startup: HotSync Manager.lnk.disabled

O4 - Global Startup: Microsoft Find Fast.lnk.disabled

O4 - Global Startup: Microsoft Office Shortcut Bar.lnk.disabled

O4 - Global Startup: Office Startup.lnk.disabled

O4 - Global Startup: Quicken Scheduled Updates.lnk.disabled

O4 - Global Startup: SpySubtract.lnk.disabled

O4 - Global Startup: Weekly Compass.lnk.disabled



????????



Pour les 2 premières opérations, je ne me souviens jamais dans quel ordre doivent être fait "désinstaller" et "fixer". Labbaipierre me l'a déjà dit, mais impossible de me le mettre dans le crâne

La désinstalltion de NewNet par Ajout/suppr est censée enlever la ligne 04 de New.Net, donc, la fixer après ne sert à rien puisque la personne ne la retrouvera normalement pas.

Merci Labbaipierre de cette précision

bon , désolé !! mais , serait ' il possible

de nous donné vraiment toutes les explication a éffectuer pour analyser un log ! pour mieux comprendre !!ou faire les recherches !!

désolé , mais , j ' ai bien envie de apronfondir d ' avantage !! ( j ' en ais grand besoin )

Google en exclusivité...



Un processus inconnu > Google !

salut

http://forum.pcastuces.com/sujet.asp?SUJET_ID=158663

bonne lecture

merci fab !! ze connait

j ' aurais voulu mieux !

pas grave ! un parrain est fait pour ça non !

Merci l'abbé mais tu me donnes une traducion anglais-français alors que j'attendais une explication par rapport à la mise en garde d'acrobaze...

Moi aussi je connais Google... et c'est grâce à lui que j'analyse les logs...



Donc... :??:



Après, certains sites reviennent souvent... pour les processus :



www.commentcamarche.net/processus

www.liutilities.com

www.iamnotageek.com



...

Ça vient d'un bug d'HijackThis.



Il identifie les 023 comme étant "file missing" alors que les fichiers sont toujours présent... le même problème existe avec les 09.

merci fab !

et jean-chretien

La mise en garde est la suivante:

Ne pas "fixer" une ligne O23 (ce sont les "services") qui fait allusion à un service légitime, même si le fichier est indiqué "manquant".

Pourquoi ?

Parce que c'est un "bug" d'HijackThis. Ou plus exactement une incapacité, parfois, à trouver le fichier correspondant. Le fichier peut être indiqué "manquant" alors qu'il est bien présent.



La règle va être simple: même avec un fichier indiqué "manquant", et même si on ne retrouve pas ce fichier dans les "running processes", si le service est légitime, ne pas y toucher.

Pour les processus j'ai trouvé ce site qui est pas mal non plus et en français http://assiste.free.fr/assiste.com.html?http://assiste.free.fr/p/pacman/lettr(...)

Oui, la Pacman startupList est excellente et trés bien fournie.

Pour le log 4



Le nettoyage a été fait ainsi:



1- Panneau de configuration -> ajout/suppression de programmes

Désinstalle: "NewDotNet" (quelquefois : "NewNet")

Redémarre.



S'il est absent : procédure 4 de cette page:

http://www.newdotnet.com/removal.html

et redémarrage.



2- Démarrer en mode sans échec et supprimer:



C:\windows\system32\elitegsb32.exe

Vider la corbeille.



3- Toujours en sans échec , cocher et fixer :

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitegsb32.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Startup: PowerReg Scheduler.exe



4- Redémarrer en mode normal, poster un nouveau log.



================



Les "PowerReg Scheduler.exe" sont des adwares:

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453078189



Mais rien à voir avec le pb.



==================



Pour les O4 - Global Startup:....

Ce sont des liens légitimes. Donc pas de raison réelle de les "fixer".



==================



Dans ce cas des fichiers "elite", on prend la démarche:

- sans échec -> suppression des fichiers -> fixer les lignes

car en prenant la démarche habituelle inverse, les lignes sont souvent toujours présentes et obligent un second passage.



===================



Dans la mesure du possible, en présence de NewNet ou NewDotnet, utiliser en premier lieu la désinstallation.

J'aime comprendre, alors merci à tous les deux!

Evite de mettre de la couleur, c'est impossible à lire avec mes couleurs persos

tiens c'est curieux, je vois pas la meme chose ici :

http://castlecops.com/StartupList.html

taper "PowerReg Scheduler"



PowerReg SchedulerV3.exe

PowerREGISTER from Leadertech. Registration reminder as used by Iomega, Hasbro & Microprose - amongst others



?????????????????



EDIT> a oui il y a un espace entre scheduler et V3

par contre le statut de PowerReg Scheduler.exe est N sur castlecops

C'est bien le même, oui.

http://castlecops.com/startuplist-2784.html



Son pb est là, en fait:

http://www.leadertech.com/ereg.html

(C'est le len donné par ComputersCops).

Log 5 Autre cas de popups.





De temps en temps, j'ai des popups publicitaires qui s'ouvrent.



Logfile of HijackThis v1.99.1

Scan saved at 2:10:15 PM, on 3/5/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\NavNT\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\NavNT\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\PROGRA~1\NavNT\vptray.exe

C:\Program Files\DIGStream\digstream.exe

C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\RedStrike\UltraWipe\Launcher.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINNT\system32\w?auboot.exe

C:\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3FF44363-ADAD-8208-D4EC-F50A047AA6EF} - C:\WINNT\system32\llh.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe

O4 - HKLM\..\Run: [DIGStream] C:\Program Files\DIGStream\digstream.exe

O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Shortcut to Map_IMC.lnk = IMC\IMC\Map_IMC.bat

O4 - Global Startup: Ultra Wipe Launcher.lnk = C:\Program Files\RedStrike\UltraWipe\Launcher.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll

O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe

Solution log 5 :

Déjà, mets HiJackthis dans son propre dossier pour éviter qu'il y ait plein de sauvegarde éparpillé. :D



Ensuite, coche et fix ces lignes :

O2 - BHO: (no name) - {3FF44363-ADAD-8208-D4EC-F50A047AA6EF} - C:\WINNT\system32\llh.dll

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) <-- on dirait que c'est bien manquant.

O4 - Global Startup: Shortcut to Map_IMC.lnk = IMC\IMC\Map_IMC.bat

O4 - Global Startup: Ultra Wipe Launcher.lnk = C:\Program Files\RedStrike\UltraWipe\Launcher.exe <-- Inutile, je pense.



Je ne vois rien d'autre. :??:

Bien vu pour :

O2 - BHO: (no name) - {3FF44363-ADAD-8208-D4EC-F50A047AA6EF} - C:\WINNT\system32\llh.dll



Mais en fait, il fait partie d'un autre parasite.



-----



Les autres, non. On ne sait jms ce que le gars a pu momentanément désactiver.

Dans les running processes:



C:\WINNT\system32\w?auboot.exe

Ouais, mais il reviendra dans le prochain démarrage... J'ai l'impression qu'il faut autre chose car là, on ne voit pas tout. Je me trompes ?

Bien vu Pow-Wow...la solution pour tout nettoyer d'un coup ?

Ctrl/Alt/Suppr



Terminer le processus suivant:



C:\WINNT\system32\w?auboot.exe





****************************************



Fermer tous les programmes, y compris internet explorer.

Lancer HijackThis "Do a system scan only". Cocher cette ligne et cliquer "Fix checked".



O2 - BHO: (no name) - {3FF44363-ADAD-8208-D4EC-F50A047AA6EF} - C:\WINNT\system32\llh.dll







****************************************



Redémarrer en mode sans échec (en tapotant F8 au démarrage).

Avoir accès aux fichiers cachés.

(explorateur windows->outils->options des dossiers->affichage

"Afficher les fichiers cachés"->coché

"Masquer les extensions.."->décoché)



Supprimer les fichiers suivants:



C:\WINNT\system32\w?auboot.exe

C:\WINNT\system32\llh.dll



C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier







Vider la corbeille



Redémarrer en mode normal et poster un nouveau log (au cas où j'ai manqué quelque chose )

J’arrive un peu après la bataille, mais voilà ce que j’avais trouvé pour le log 5, sans avoir peauffiné



1)Fixer les lignes



O2 - BHO: (no name) - {3FF44363-ADAD-8208-D4EC-F50A047AA6EF} - C:\WINNT\system32\llh.dll



O4 - Global Startup: Shortcut to Map_IMC.lnk = IMC\IMC\Map_IMC.bat



O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll



O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll



2)Supprimer les fichiers



C:\WINNT\system32\w?auboot.exe



C:\WINNT\system32\llh.dll



C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll



C:\WINNT\System32\NavLogon.dll

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll



C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

C:\WINNT\System32\NavLogon.dll



Pourquoi ?

Parce que en faisant des recherches sur google, j'ai remarqué que plusieurs fois il était conseillé de supprimer ces fichiers.



Si çà avait été pour conseiller à un membre, je ne l'aurais pas mis car j'avais un peu des doutes (dans le doute abstiens-toi). Mais comme ici, c'est pour apprendre, le meilleur moyen de dissiper mes doutes était de l'indiquer, car ensuite on a la solution par acrobaze et l'explication du pourquoi il ne faut pas le supprimer.

NavLogon.dll appartient à Norton : http://www.bleepingcomputer.com/startups/NavLogon.dll-7645.html



npqtplugin3.dll est un fichier dll pour amèliorer IE. Il est utilisé pour pouvoir lire des vidéos .mpeg sur internet.

Voilà, donc NavLogon.dll c'est Norton Antivirus et npqtplugin3.dll un plugn IE, certainement en rapport avec Quick Time (qt).



En fait, il n'y avait rien à cocher dans ce log.



Dans les processus, on identifie bien:

C:\WINNT\system32\w?auboot.exe



Ces fichiers ayant un point d'interrrogation sont la signature de PurityScan.



Il suffit donc en premier lieu de donner ceci :



Télécharger cet uninstaller:

http://www.purityscan.com/uninstall.html

Le lancer, redémarrer et poster un nouveau log.



=======



La O2 :

O2 - BHO: (no name) - {3FF44363-ADAD-8208-D4EC-F50A047AA6EF} - C:\WINNT\system32\llh.dll

avait disparu ds le log qui a suivi. Donc elle faisait partie du spyware.

Merci Labbaipierre

Merci, on en apprend tous les jours avec toi

Log 6 : Les O10



Logfile of HijackThis v1.99.1

Scan saved at 10:14:48 AM, on 3/28/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\LEXBCES.EXE

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\LEXPPS.EXE

C:\WINNT\Explorer.EXE

C:\Program Files\Mouse\Amoumain.exe

C:\WINNT\system32\LMSXXD.exe

C:\WINNT\system32\WLANSTA.EXE

C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\WINNT\system32\rundll32.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\AWS\WeatherBug\Weather.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Musicmatch\Musicmatch Jukebox\MMDiag.exe

C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe

C:\Program Files\LimeWire\LimeWire.exe

C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\Program Files\MusicMatch\MusicMatch Jukebox\mim.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINNT\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Dax.JENSEN\Desktop\Julia\My Documents\My Downloads\Antivirus and Spyware Tools\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ms101.mysearch.com/sa/srchlft.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.earthlink.net/AL/Search

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: EarthLink Popup Blocker - {4B5F2E08-6F39-479a-B547-B2026E4C7EDF} - C:\Program Files\EarthLink TotalAccess\PnEL.dll

O2 - BHO: EarthLink ScamBlocker V2 - {66252F33-BE30-4188-9199-63F2AC8BA137} - C:\Program Files\EarthLink TotalAccess\EScamBlk.dll

O3 - Toolbar: EarthLink Toolbar - {D7F30B62-8269-41AF-9539-B2697FA7D77E} - C:\Program Files\EarthLink TotalAccess\PnEL.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray. exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [LMSXXD] LMSXXD.exe

O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [MimBoot] C:\Program Files\Musicmatch\Musicmatch Jukebox\mimboot.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Weather] C:\Program Files\AWS\WeatherBug\Weather.exe 1

O4 - Startup: LimeWire On Startup.lnk = LimeWire\LimeWire.exe

O4 - Global Startup: MyWebSearch Email Plugin.lnk = MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZRxdm232YYUS

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O15 - Trusted Zone: *.musicmatch.com (HKLM)

O16 - DPF: WebConnect Pro 6.2.10 - https://secureconnect.csx.com:3443/WebConnectDU.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?lin...467&clcid=0x409

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1093396161775

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE



Ca inspire ?

Merci Acrobaze pour ce cours magistral . C'est super.

Tu as eu une sacrée bonne idée en lançant ce topic

Cocher et fixer ces lignes :



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ms101.mysearch.com/sa/srchlft.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.earthlink.net/AL/Search



Du Mysearch...



R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - Global Startup: MyWebSearch Email Plugin.lnk = MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZRxdm232YYUS



MyWebSearch...



O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab



Bizarre...



------



Panneau de configuration > ajout/suppression de programmes : Désinstaller "NewDotNet"



Si le programme est absent, suivre la procédure n°4 de cette page: http://www.newdotnet.com/removal.html



Redémarrer ensuite l'ordinateur.



>> Pour les 010, on ne doit jamais les fixer par HijackThis !



----



Passer aussi l'uninstall de Lop si des lignes sont revenues (mysearch) http://lop.com/new_uninstall.exe



----



Reposter un log pour vérifier si c'est bon.

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab -> fun web products

on peut trouver les DPF avec la fonction "rechercher de spywareblaster

Oui, c'est probalement avec un téléchargement de ce site que s'est installé MyWebSearch qui est distinct de NewNet.

Voilà ma réponse pour log 6



1) Panneau de configuration -> ajout/suppression de programmes

Désinstalle: NewDotNet



S'il n'y est pas: procédure 4 de cette page:

http://www.newdotnet.com/removal.html



Dans tous les cas, redémarrer



2) Fermer toutes les applications actives. Ensuite, relance HijackThis. Coche les lignes suivantes et clique sur Fix Checked (en répondant Oui à la question qui suit) :



Les lignes

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll



O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup –s



et 010

devraient avoir disparues. Si elles étaient présentent, ne pas fixer les lignes 010



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ms101.mysearch.com/sa/srchlft.html



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.earthlink.net/AL/Search



R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL



O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL



O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL



O4 - HKLM\..\Run: [LMSXXD] LMSXXD.exe



O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe



O4 - Global Startup: MyWebSearch Email Plugin.lnk = MyWebSearch\bar\1.bin\MWSOEMON.EXE



O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZRxdm232YYUS



O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab



3) Redémarrer en mode sans échec



4) S’assurer d’avoir accès aux fichiers et dossiers cachés



5) Supprimer les fichiers suivants :



C:\WINNT\system32\LMSXXD.exe



C:\Program Files\MyWebSearch



6) Vider la corbeille



7) Redémarrer l’ordinateur



8) Refaire un hijackthis