LE NEWSMAGAZINE Nº1 DES NOUVELLES TECHNOLOGIES
160 utilisateurs connectés
 |
page précédente |
1 - 2 - 3 - 4 - 5 - 6 - 7 |
page suivante |  |
Tuto Pratique HijackThis
acrobaze
le 20 avril 2005 à 16h08
dude2005 a écrit :
Trouvé sur Zebulon.fr :Quelques concurrents, quelques alternatives à HijackThis :
- a-squared HiJackFree -> hijackfree.net/fr/
- X-RayPc -> x-raypc.com/
- StartDreck -> niksoft.at/download/startdreck.htm
Voilà. StartDreck. Comment le régler ?
répondre
herisson41
le 20 avril 2005 à 16h18
Je ne connais pas d'autres outils équivalents à hijackthis.
J'aurais désactivé la restauration du système, vider Temporaty internet explorer, supprimer tous les fichiers temporaires, supprimer les cookies, et réessayer de relancer hijackthis, mais vraissemblablement sans succès.
J'aurais désactivé la restauration du système, vider Temporaty internet explorer, supprimer tous les fichiers temporaires, supprimer les cookies, et réessayer de relancer hijackthis, mais vraissemblablement sans succès.
-------
![[:AleXiaO:3]](/data/globaldata/usmilies/alexiao-3.gif "[:AleXiaO:3]")
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
![[:fml:9]](/data/globaldata/usmilies/fml-9.gif "[:fml:9]")
Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
![[:juju07:2]](/data/globaldata/usmilies/juju07-2.gif "[:juju07:2]")
Liste des anniversaires à souhaiter
![[:herisson41:3]](/data/globaldata/usmilies/herisson41-3.gif "[:herisson41:3]")
Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ? Liste des anniversaires à souhaiter Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
dude2005
le 20 avril 2005 à 16h34
Je ne le connais pas, je viens de le regarder : pas aggréable à lire ! 
Je dirais juste que ce qui m'intéresse ce sont les Run Keys, les Running Processes et les Services. Mais je ne le trouve pas très "ergonomique" et... enfin mon ordi fonctionne très bien 
alors...
Je dirais juste que ce qui m'intéresse ce sont les Run Keys, les Running Processes et les Services. Mais je ne le trouve pas très "ergonomique" et... enfin mon ordi fonctionne très bien alors...
acrobaze
le 20 avril 2005 à 16h44
dude2005 a écrit :
Je ne le connais pas, je viens de le regarder : pas aggréable à lire ! Je dirais juste que ce qui m'intéresse ce sont les Run Keys, les Running Processes et les Services. Mais je ne le trouve pas très "ergonomique" et... enfin mon ordi fonctionne très bien alors...Ben oui, mais c'est pour aider les autres.
==========
Voici le réglage type :
Télécharge ce fichier.
Dézippe-le et lance Startdreck.exe
- Clique : "Config" -> "Unmark all"
- Coche:
Registry -> Run Keys
System/drivers -> Running processes
- Clique "Ok".
- Clique "Save" et sauvegarde le log avec le bloc-notes puis copie/colle le ici.
Dézippe-le et lance Startdreck.exe
- Clique : "Config" -> "Unmark all"
- Coche:
Registry -> Run Keys
System/drivers -> Running processes
- Clique "Ok".
- Clique "Save" et sauvegarde le log avec le bloc-notes puis copie/colle le ici.
Et le log qui a suivi :
StartDreck (build 2.1.7 public stable) - 2005-04-17 @ 12:52:05 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Germaine at MONORDI
»Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*Windows Compliant=vypvvw.exe
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Microsoft Messenger XP=MSMSN32.exe
*Windows Host32 Starter=hostserv.exe
»RunOnce
»Local Machine
»Run
*adiras=adiras.exe
*MSN Messenger=msnmsgr.exe
*gcasServ="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
*avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
*Windows Compliant=vypvvw.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
*NeroCheck=C:\WINDOWS\System32\NeroCheck.exe
*SunJavaUpdateSched=C:\Program Files\Java\j2re1.4.2_08\bin\jusched.exe
*WinampAgent=C:\Program Files\Winamp\winampa.exe
*Cmaudio=RunDll32 cmicnfg.cpl,CMICtrlWnd
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
»RunOnce
»RunServices
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Microsoft Messenger XP=MSMSN32.exe
*Windows Compliant=vypvvw.exe
*Windows Host32 Starter=hostserv.exe
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+396=\SystemRoot\System32\smss.exe
+472=\??\C:\WINDOWS\system32\csrss.exe
+496=\??\C:\WINDOWS\system32\winlogon.exe
+540=C:\WINDOWS\system32\services.exe
+552=C:\WINDOWS\system32\lsass.exe
+708=C:\WINDOWS\system32\svchost.exe
+732=C:\WINDOWS\System32\svchost.exe
+800=C:\WINDOWS\System32\svchost.exe
+856=C:\WINDOWS\System32\svchost.exe
+1072=C:\WINDOWS\Explorer.EXE
+1088=C:\WINDOWS\system32\spoolsv.exe
+1236=C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
+1248=C:\Program Files\Alwil Software\Avast4\ashServ.exe
+1288=C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
+1580=C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
+1696=C:\WINDOWS\System32\msnmsgr.exe
+1712=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
+1720=C:\WINDOWS\System32\winsupdater.exe
+1736=C:\WINDOWS\System32\hostserv.exe
+1748=C:\WINDOWS\System32\MSMSN32.exe
+1768=C:\Program Files\Java\j2re1.4.2_08\bin\jusched.exe
+1792=C:\Program Files\Winamp\winampa.exe
+1800=C:\WINDOWS\System32\RunDll32.exe
+1832=C:\WINDOWS\System32\ctfmon.exe
+1852=C:\WINDOWS\System32\winsupdater.exe
+1868=C:\WINDOWS\System32\MSMSN32.exe
+1900=C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
+2004=C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
+164=C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
+1052=C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
+2384=C:\Program Files\Mozilla Firefox\firefox.exe
+1848=C:\Program Files\Winamp\winamp.exe
+4056=C:\Documents and Settings\Germaine\Bureau\startdreck\StartDreck.exe
»Application specific
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Germaine at MONORDI
»Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*Windows Compliant=vypvvw.exe
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Microsoft Messenger XP=MSMSN32.exe
*Windows Host32 Starter=hostserv.exe
»RunOnce
»Local Machine
»Run
*adiras=adiras.exe
*MSN Messenger=msnmsgr.exe
*gcasServ="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
*avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
*Windows Compliant=vypvvw.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
*NeroCheck=C:\WINDOWS\System32\NeroCheck.exe
*SunJavaUpdateSched=C:\Program Files\Java\j2re1.4.2_08\bin\jusched.exe
*WinampAgent=C:\Program Files\Winamp\winampa.exe
*Cmaudio=RunDll32 cmicnfg.cpl,CMICtrlWnd
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
»RunOnce
»RunServices
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Microsoft Messenger XP=MSMSN32.exe
*Windows Compliant=vypvvw.exe
*Windows Host32 Starter=hostserv.exe
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+396=\SystemRoot\System32\smss.exe
+472=\??\C:\WINDOWS\system32\csrss.exe
+496=\??\C:\WINDOWS\system32\winlogon.exe
+540=C:\WINDOWS\system32\services.exe
+552=C:\WINDOWS\system32\lsass.exe
+708=C:\WINDOWS\system32\svchost.exe
+732=C:\WINDOWS\System32\svchost.exe
+800=C:\WINDOWS\System32\svchost.exe
+856=C:\WINDOWS\System32\svchost.exe
+1072=C:\WINDOWS\Explorer.EXE
+1088=C:\WINDOWS\system32\spoolsv.exe
+1236=C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
+1248=C:\Program Files\Alwil Software\Avast4\ashServ.exe
+1288=C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
+1580=C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
+1696=C:\WINDOWS\System32\msnmsgr.exe
+1712=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
+1720=C:\WINDOWS\System32\winsupdater.exe
+1736=C:\WINDOWS\System32\hostserv.exe
+1748=C:\WINDOWS\System32\MSMSN32.exe
+1768=C:\Program Files\Java\j2re1.4.2_08\bin\jusched.exe
+1792=C:\Program Files\Winamp\winampa.exe
+1800=C:\WINDOWS\System32\RunDll32.exe
+1832=C:\WINDOWS\System32\ctfmon.exe
+1852=C:\WINDOWS\System32\winsupdater.exe
+1868=C:\WINDOWS\System32\MSMSN32.exe
+1900=C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
+2004=C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
+164=C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
+1052=C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
+2384=C:\Program Files\Mozilla Firefox\firefox.exe
+1848=C:\Program Files\Winamp\winamp.exe
+4056=C:\Documents and Settings\Germaine\Bureau\startdreck\StartDreck.exe
»Application specific
Vous en faites quoi ?
yannik
le 20 avril 2005 à 17h01
Refdémarre en mode sans échec.
Supprime le fichier C:\WINDOWS\System32\winsupdater.exe
Et lance l'éditeur de registre.
Edition >> rechercher >> décocher la case "mot entier seulement" puis tape winsupdater.exe et efface toutes les entrées trouver dans le registre. (il porte le nom de MicroSoft Window Updater)
Supprime le fichier C:\WINDOWS\System32\winsupdater.exe
Et lance l'éditeur de registre.
Edition >> rechercher >> décocher la case "mot entier seulement" puis tape winsupdater.exe et efface toutes les entrées trouver dans le registre. (il porte le nom de MicroSoft Window Updater)
-------
dude2005
le 20 avril 2005 à 17h06
Mais je veux bien aider les autres 
... Et que les autres m'aident !
Après recherche dans processlibrary.com, j'ai ça d'inconnu (donc douteux) :
*Windows Compliant=vypvvw.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
avec mention spéciale à winsupdater et msmmsn pour le fait qu'ils font référence à windows update et msn messager, donc encore plus douteux.
Comment on fait maintenant ? On les supprime dans les processus actifs d'abord puis dans les clés de démarrage avec la fonction delete ?
Edit : j'ai cru comprendre qu'il était impossible à démarrer en mode sans échec, c'est bien ça ?
... Et que les autres m'aident !Après recherche dans processlibrary.com, j'ai ça d'inconnu (donc douteux) :
*Windows Compliant=vypvvw.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
avec mention spéciale à winsupdater et msmmsn pour le fait qu'ils font référence à windows update et msn messager, donc encore plus douteux.
Comment on fait maintenant ? On les supprime dans les processus actifs d'abord puis dans les clés de démarrage avec la fonction delete ?
Edit : j'ai cru comprendre qu'il était impossible à démarrer en mode sans échec, c'est bien ça ?
acrobaze
le 20 avril 2005 à 17h09
yannik a écrit :
Refdémarre en mode sans échec.Supprime le fichier C:\WINDOWS\System32\winsupdater.exe
Et lance l'éditeur de registre.
Edition >> rechercher >> décocher la case "mot entier seulement" puis tape winsupdater.exe et efface toutes les entrées trouver dans le registre. (il porte le nom de MicroSoft Window Updater)
En voilà un! Il y en a d'autres.
Pas la peine de rechercher ds la bdr :
»Local Machine
»Run
»Run
C'est ça, par exemple :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
acrobaze
le 20 avril 2005 à 17h13
dude2005 a écrit :
Après recherche dans processlibrary.com, j'ai ça d'inconnu (donc douteux) :*Windows Compliant=vypvvw.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
avec mention spéciale à winsupdater et msmmsn pour le fait qu'ils font référence à windows update et msn messager, donc encore plus douteux.
Comment on fait maintenant ? On les supprime dans les processus actifs d'abord puis dans les clés de démarrage avec la fonction delete ?
Edit : j'ai cru comprendre qu'il était impossible à démarrer en mode sans échec, c'est bien ça ?
Voilà. Il y en a un 5 ème.
On ne peut pas terminer les processus, puisque :
ni ouvrir le gestionnaire des taches
et pas de sans échec, non.
herisson41
le 20 avril 2005 à 17h15
Le 5ème c'est celui-là ?
C:\WINDOWS\System32\msnmsgr.exe
C:\WINDOWS\System32\msnmsgr.exe
-------
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
Liste des anniversaires à souhaiter
Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ? Liste des anniversaires à souhaiter Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
acrobaze
le 20 avril 2005 à 17h27
herisson41 a écrit :
Le 5ème c'est celui-là ?C:\WINDOWS\System32\msnmsgr.exe
Yes! Alors comment faire pour s'en débarrasser sachant qu'ils sont ds les processus mais que le sans échec n'est pas accessible ni le gestionnaire de tâches ?
Ps : le vrai msnmsgr.exe n'est pas ds sustem32, mais dans:
C:\Program Files\MSN Messenger\MsnMsgr.Exe
dude2005
le 20 avril 2005 à 17h36
Il faut trouver un utilitaire qui permet de les supprimer au boot.
herisson41
le 20 avril 2005 à 17h42
Voilà ma copie
Dans
»Registry
»Run Keys
»Current User
»Run
sélectionner
*Windows Compliant=vypvvw.exe
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
cliquer sur disable
Dans
»RunOnce
»Default User
»Run
sélectionner
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Microsoft Messenger XP=MSMSN32.exe
*Windows Host32 Starter=hostserv.exe
cliquer sur disable
Dans
»RunOnce
»Local Machine
»Run
sélectionner
MSN Messenger=msnmsgr.exe
*Windows Compliant=vypvvw.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
cliquer sur disable
»RunOnce
»RunServices
sélectionner
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Microsoft Messenger XP=MSMSN32.exe
*Windows Compliant=vypvvw.exe
*Windows Host32 Starter=hostserv.exe
cliquer sur disable
Dans
»Files
»System/Drivers
»Running Processes
sélectionner
+1696=C:\WINDOWS\System32\msnmsgr.exe
+1720=C:\WINDOWS\System32\winsupdater.exe
+1736=C:\WINDOWS\System32\hostserv.exe
+1748=C:\WINDOWS\System32\MSMSN32.exe
+1852=C:\WINDOWS\System32\winsupdater.exe
cliquer sur terminate (s)
Puis ensuite je pense qu'on devrait pouvoir lancer, un hijackthis
Dans
»Registry
»Run Keys
»Current User
»Run
sélectionner
*Windows Compliant=vypvvw.exe
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
cliquer sur disable
Dans
»RunOnce
»Default User
»Run
sélectionner
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Microsoft Messenger XP=MSMSN32.exe
*Windows Host32 Starter=hostserv.exe
cliquer sur disable
Dans
»RunOnce
»Local Machine
»Run
sélectionner
MSN Messenger=msnmsgr.exe
*Windows Compliant=vypvvw.exe
*MicroSoft Window Updater=winsupdater.exe
*Windows Host32 Starter=hostserv.exe
*Microsoft Messenger XP=MSMSN32.exe
cliquer sur disable
»RunOnce
»RunServices
sélectionner
*MSN Messenger=msnmsgr.exe
*MicroSoft Window Updater=winsupdater.exe
*Microsoft Messenger XP=MSMSN32.exe
*Windows Compliant=vypvvw.exe
*Windows Host32 Starter=hostserv.exe
cliquer sur disable
Dans
»Files
»System/Drivers
»Running Processes
sélectionner
+1696=C:\WINDOWS\System32\msnmsgr.exe
+1720=C:\WINDOWS\System32\winsupdater.exe
+1736=C:\WINDOWS\System32\hostserv.exe
+1748=C:\WINDOWS\System32\MSMSN32.exe
+1852=C:\WINDOWS\System32\winsupdater.exe
cliquer sur terminate (s)
Puis ensuite je pense qu'on devrait pouvoir lancer, un hijackthis
-------
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
Liste des anniversaires à souhaiter
Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ? Liste des anniversaires à souhaiter Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
dude2005
le 20 avril 2005 à 17h51
Pour msnmsgr, on doit se méfier de toute application "normale" placée au mauvais endroit, notamment windows/system32, c'est ça ?
acrobaze
le 20 avril 2005 à 18h19
dude2005 a écrit :
Pour msnmsgr, on doit se méfier de toute application "normale" placée au mauvais endroit, notamment windows/system32, c'est ça ?Oui, c'est la tactique favorite des trojans...ou une inversion de lettres..
acrobaze
le 20 avril 2005 à 18h22
Ce n'est pas la peine d'aller dans la base de registre. On peut penser que l'on peut supprimer les fichiers. Et ensuite, si ça marche, nettoyer le registre avec HijackThis.
En plus, si le gestionnaire de tâches est "bloqué"..il y a de fortes chances que regedit le soit aussi.
herisson41
le 20 avril 2005 à 19h08
dude2005 a écrit :
Il faut trouver un utilitaire qui permet de les supprimer au boot.En fait, je pense que c’est la clé de la solution
En cherchant sur google, j’ai trouvé une réponse donné par acrobaze (je pense que c’est toi) sur le forum hardware.fr qui consistait à télécharger "PocketKillBox" pour supprimer ces fichiers. Ne connaissant pas ce logiciel, je me contente ici de faire un copier/coller de la réponse
Télécharge "PocketKillBox" sur :
http://www.downloads.subratam.org/KillBox.zip
Pose-le sur ton bureau. dézippe-le etl ance-le.
-Coche "Delete on reboot"
-Dans "Paste full path of file..", copie/colle l'un après l'autre les fichiers suivants.
-A chaque fichier, clique "Delete file" (la croix blanche)
-Tu auras ce message : "File with be deleted on next reboot, Process and Reboot now?". Réponds "NON"
sauf pour le dernier.
C:\WINDOWS\System32\winsupdater.exe
C:\WINDOWS\System32\hostserv.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\vypvvw.exe
C:\WINDOWS\System32\msnmsgr.exe
Donc au dernier, tu cliques "Oui", tu laisses l'ordi redémarrer.
Essaie de lancer HijackThis, poste un log si c'est possible.
Au message suivant hijackthis a pu démarrer
http://www.downloads.subratam.org/KillBox.zip
Pose-le sur ton bureau. dézippe-le etl ance-le.
-Coche "Delete on reboot"
-Dans "Paste full path of file..", copie/colle l'un après l'autre les fichiers suivants.
-A chaque fichier, clique "Delete file" (la croix blanche)
-Tu auras ce message : "File with be deleted on next reboot, Process and Reboot now?". Réponds "NON"
sauf pour le dernier.
C:\WINDOWS\System32\winsupdater.exe
C:\WINDOWS\System32\hostserv.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\vypvvw.exe
C:\WINDOWS\System32\msnmsgr.exe
Donc au dernier, tu cliques "Oui", tu laisses l'ordi redémarrer.
Essaie de lancer HijackThis, poste un log si c'est possible.
Au message suivant hijackthis a pu démarrer
Si c’est la bonne réponse, je n’ai aucun mérite
-------
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
Liste des anniversaires à souhaiter
Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ? Liste des anniversaires à souhaiter Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
acrobaze
le 20 avril 2005 à 19h25
Voilà, c'est ça. On utilise souven KillBox pour une suppression unique. Alors qu'il permet de supprimer un ensemble de fichiers au reboot.
acrobaze
le 20 avril 2005 à 19h27
Après utilisation de KillBox, voici la réponse :
Ca s'ameliore puisque j'ai pu lancer Hijackthis.
Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 14:20:42, on 17/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\j2re1.4.2_08\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\pack antivirus plus pilotes imprimante\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cegetel.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Compliant] vypvvw.exe
O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\Run: [Windows Host32 Starter] hostserv.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_08\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] vypvvw.exe
O4 - HKLM\..\RunServices: [Windows Host32 Starter] hostserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Compliant] vypvvw.exe
O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU\..\Run: [Windows Host32 Starter] hostserv.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O4 - HKCU\..\RunServices: [Windows Host32 Starter] hostserv.exe
O4 - Startup: Reboot.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
herisson41
le 20 avril 2005 à 20h05
Voici la réponse que je donnerais
Ferme toutes les applications actives. Ensuite, relance HijackThis. Coche les lignes suivantes et clique sur Fix Checked (en répondant Oui à la question qui suit) :
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\Run: [Windows Compliant] vypvvw.exe
O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\Run: [Windows Host32 Starter] hostserv.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] vypvvw.exe
O4 - HKLM\..\RunServices: [Windows Host32 Starter] hostserv.exe
O4 - HKCU\..\Run: [Windows Compliant] vypvvw.exe
O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU\..\Run: [Windows Host32 Starter] hostserv.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\RunServices: [Windows Host32 Starter] hostserv.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
J’hésite pour celle-ci. Faut-il la fixer ou non ?
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
Je suppose qu’il est inutile d’aller supprimer les fichiers
C:\WINDOWS\System32\winsupdater.exe
C:\WINDOWS\System32\hostserv.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\vypvvw.exe
C:\WINDOWS\System32\msnmsgr.exe
car, ayant être supprimés par PocketKillBox, ils ne doivent plus y être. D’ailleurs ils n’apparaissent pas dans la 1ère partie du rapport
Ferme toutes les applications actives. Ensuite, relance HijackThis. Coche les lignes suivantes et clique sur Fix Checked (en répondant Oui à la question qui suit) :
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\Run: [Windows Compliant] vypvvw.exe
O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\Run: [Windows Host32 Starter] hostserv.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] vypvvw.exe
O4 - HKLM\..\RunServices: [Windows Host32 Starter] hostserv.exe
O4 - HKCU\..\Run: [Windows Compliant] vypvvw.exe
O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU\..\Run: [Windows Host32 Starter] hostserv.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\RunServices: [Windows Host32 Starter] hostserv.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
J’hésite pour celle-ci. Faut-il la fixer ou non ?
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
Je suppose qu’il est inutile d’aller supprimer les fichiers
C:\WINDOWS\System32\winsupdater.exe
C:\WINDOWS\System32\hostserv.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\vypvvw.exe
C:\WINDOWS\System32\msnmsgr.exe
car, ayant être supprimés par PocketKillBox, ils ne doivent plus y être. D’ailleurs ils n’apparaissent pas dans la 1ère partie du rapport
-------
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
Liste des anniversaires à souhaiter
Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ? Liste des anniversaires à souhaiter Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
herisson41
le 20 avril 2005 à 20h22
Voyons, si j’essaie de résumer la situation lorsqu’il est impossible de lancer un hijackthis, j'obtiens :
Télécharger l’outil StartDreck -> http://www.niksoft.at/download/startdreck.htm
Le lancer et repérer les intrus
Télécharger cet outil "PocketKillBox" sur :
http://www.downloads.subratam.org/KillBox.zip
Supprimer les intrus avec cet outil
Maintenant on devrait pouvoir lancer hijackthis
Télécharger l’outil StartDreck -> http://www.niksoft.at/download/startdreck.htm
Le lancer et repérer les intrus
Télécharger cet outil "PocketKillBox" sur :
http://www.downloads.subratam.org/KillBox.zip
Supprimer les intrus avec cet outil
Maintenant on devrait pouvoir lancer hijackthis
-------
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
Liste des anniversaires à souhaiter
Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ? Liste des anniversaires à souhaiter Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
dude2005
le 20 avril 2005 à 20h31
Pareil et la O15 je la fixe, je pense qu'il n'y a aucun risque à éliminer un site de la zone de confiance.
Il faut remplacer l'antispyware microsoft par Spybot et Ad-Aware ?
Il faut remplacer l'antispyware microsoft par Spybot et Ad-Aware ?
acrobaze
le 20 avril 2005 à 20h35
Exactement. Donc "StartDreck" est un outil polyvalent.
Le faire régler comme indiqué pour avoir les renseignements essentiels.
Effectivement, s'il y a des intrus, les supprimer avec KillBox, en faisant cocher "Delete on reboot" et en précisant bien qu'il ne faut approuver le reboot qu'après le dernier fichier entré.
Si rien n'est repéré...là, ça devient critique..tenter "SilentRunners".
Le faire régler comme indiqué pour avoir les renseignements essentiels.
Effectivement, s'il y a des intrus, les supprimer avec KillBox, en faisant cocher "Delete on reboot" et en précisant bien qu'il ne faut approuver le reboot qu'après le dernier fichier entré.
Si rien n'est repéré...là, ça devient critique..tenter "SilentRunners".
acrobaze
le 20 avril 2005 à 20h38
Oui, la O15, il faut la fixer, c'est un parasite.
Sinon, non, on peut recommander Ad-Aware SE, oui, mais en plus de Microsoft antiSpy, pas à la place.
Sinon, non, on peut recommander Ad-Aware SE, oui, mais en plus de Microsoft antiSpy, pas à la place.
Labbaipierre
le 20 avril 2005 à 20h41
dude2005 a écrit :
Pareil et la O15 je la fixe, je pense qu'il n'y a aucun risque à éliminer un site de la zone de confiance.Il faut remplacer l'antispyware microsoft par Spybot et Ad-Aware ?
Le compléter, plutôt.
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
herisson41
le 20 avril 2005 à 20h51
Merci Acrobaze, encore une belle leçon. Tu es un Grand Maître.
-------
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
Liste des anniversaires à souhaiter
Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ? Liste des anniversaires à souhaiter Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
acrobaze
le 20 avril 2005 à 21h16
Donc le gestionnaire de tâches est revenu...etc..
Dommage, le gars n'a plus posté. Car j'aurais aimé clarifier ce point :
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
Userinit dans system32 est un fichier windows.
Par contre userinit32.exe est rapporté comme un malware, par exemple ici :
http://www.symantec.com/avcenter/venc/data/w32.petch.b.html
balltrap34
le 20 avril 2005 à 21h21
Dommage, le gars n'a plus posté. Car j'aurais aimé clarifier ce point :
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
Userinit dans system32 est un fichier windows.
Par contre userinit32.exe est rapporté comme un malware, par exemple ici :
http://www.symantec.com/avcenter/venc/data/w32.petch.b.html
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
Userinit dans system32 est un fichier windows.
Par contre userinit32.exe est rapporté comme un malware, par exemple ici :
http://www.symantec.com/avcenter/venc/data/w32.petch.b.html
salut acrobaze
exact ligne trouvez souvent sur certain log infecte
yannik
le 20 avril 2005 à 21h29
Et bien c'est vraiment cool tout ça. Juste un peu de temps pour m'habitué au log de "StartDreck".
Au faites, SilentRunners, c'est plutôt difficile à analyser... Enfin, pour moi.
Au faites, SilentRunners, c'est plutôt difficile à analyser... Enfin, pour moi.
-------
acrobaze
le 20 avril 2005 à 21h40
Bon...je cherche un Vx2....résolu! :lol:
Labbaipierre
le 20 avril 2005 à 21h43
Faudrait aussi voir avec DllFix. ;)
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
acrobaze
le 20 avril 2005 à 21h56
Dllfix a été retiré des sites car son créateur..je ne sais plus son nom...l'a demandé.
Il paraît qu'il était buggé.
Et il n'y a pas d'outil vraiment pratique qui le remplace.
acrobaze
le 20 avril 2005 à 21h59
Log 10 :
Vx2
O10
et beaucoup d'autres...
-----------
Je suis envahi de popups de pub. J'ai passé Ad-Aware et SpyBot...Mais ça ne change rien.
Logfile of HijackThis v1.99.1
Scan saved at 12:26:38 PM, on 3/2/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\WinTools\WToolsS.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\WinTools\WToolsA.exe
C:\Program Files\Common Files\WinTools\WSup.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\isrvs\desktop.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system\ekvi.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.sbc.com/dsl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer Provided by Cox High Speed Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Program Files\E2G\IeBHOs.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteukk32.exe
O4 - HKCU\..\Run: [prutqct] C:\WINDOWS\System32\prutqct.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Yahoo! Login - {2499216C-4BA5-11D5-BD9C-000103C116D5} - C:\Program Files\Yahoo!\Common\ylogin.dll
O9 - Extra 'Tools' menuitem: Yahoo! Login - {2499216C-4BA5-11D5-BD9C-000103C116D5} - C:\Program Files\Yahoo!\Common\ylogin.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.c...es/MsnPUpld.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://129.15.40.101/activex/AxisCamControl.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v1...ro.cab27513.cab
O16 - DPF: {D6016EE7-A8FF-11D1-B37E-A4759ECD7909} (AxPulse Class) - http://www.pulse3d.com/players/engl...PlayerAxWin.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuit.../ITDetector.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://anu.popcap.com/games/popcaploader_v5.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/i...432/mcfscan.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\m8poli7318.dll
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WinTools for IE service (WinToolsSvc) - Unknown owner - C:\Program Files\Common Files\WinTools\WToolsS.exe
-----------
Je suis envahi de popups de pub. J'ai passé Ad-Aware et SpyBot...Mais ça ne change rien.
Logfile of HijackThis v1.99.1
Scan saved at 12:26:38 PM, on 3/2/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\WinTools\WToolsS.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\WinTools\WToolsA.exe
C:\Program Files\Common Files\WinTools\WSup.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\isrvs\desktop.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system\ekvi.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.sbc.com/dsl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer Provided by Cox High Speed Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Program Files\E2G\IeBHOs.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteukk32.exe
O4 - HKCU\..\Run: [prutqct] C:\WINDOWS\System32\prutqct.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Yahoo! Login - {2499216C-4BA5-11D5-BD9C-000103C116D5} - C:\Program Files\Yahoo!\Common\ylogin.dll
O9 - Extra 'Tools' menuitem: Yahoo! Login - {2499216C-4BA5-11D5-BD9C-000103C116D5} - C:\Program Files\Yahoo!\Common\ylogin.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.c...es/MsnPUpld.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://129.15.40.101/activex/AxisCamControl.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v1...ro.cab27513.cab
O16 - DPF: {D6016EE7-A8FF-11D1-B37E-A4759ECD7909} (AxPulse Class) - http://www.pulse3d.com/players/engl...PlayerAxWin.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuit.../ITDetector.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://anu.popcap.com/games/popcaploader_v5.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/i...432/mcfscan.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\m8poli7318.dll
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WinTools for IE service (WinToolsSvc) - Unknown owner - C:\Program Files\Common Files\WinTools\WToolsS.exe
Labbaipierre
le 20 avril 2005 à 22h48
acrobaze a écrit :
Dllfix a été retiré des sites car son créateur..je ne sais plus son nom...l'a demandé.Il paraît qu'il était buggé.
Et il n'y a pas d'outil vraiment pratique qui le remplace.
Ah c'est dommage... :/
Enfin, ceci dit son utilisation était pour des cas rares.
J'en n'ai vu qu'un seul sur MH. Quelques un sur HFR...
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
pow-wow
le 20 avril 2005 à 23h07
Salut à tous
Dans un premier temps, je conseillerai cela:
Télécharge LspFix
****************************
Télécharge cet outil.
http://www.downloads.subratam.org/l2mfix.exe
-Pose-le sur ton bureau
-Dézippe-le
***************************
-Lance LSPFix
-Coche "I know what I'm doing"
-Sans rien faire d'autre, clique "Finish".
***************************
-Double-clique l2mfix.bat et choisis l'option 1 (tape 1 et entrée)
-Lorsqu'il a terminé sa recherche, il ouvre un rapport dans le bloc-notes.
-Copie/colle ce rapport ici.
Important : ne clique aucun autre fichier ni options !!!
C'est l'interprétation du log qui va me poser pb.
Dans un premier temps, je conseillerai cela:
Télécharge LspFix
****************************
Télécharge cet outil.
http://www.downloads.subratam.org/l2mfix.exe
-Pose-le sur ton bureau
-Dézippe-le
***************************
-Lance LSPFix
-Coche "I know what I'm doing"
-Sans rien faire d'autre, clique "Finish".
***************************
-Double-clique l2mfix.bat et choisis l'option 1 (tape 1 et entrée)
-Lorsqu'il a terminé sa recherche, il ouvre un rapport dans le bloc-notes.
-Copie/colle ce rapport ici.
Important : ne clique aucun autre fichier ni options !!!
C'est l'interprétation du log qui va me poser pb.
-------
Dieu créa le chat pour permettre à l'homme de caresser un tigre![[:pow-wow:8]](/data/globaldata/usmilies/powwow-8.gif "[:pow-wow:8]")
![[:pow-wow:3]](/data/globaldata/usmilies/powwow-3.gif "[:pow-wow:3]")
![[:sms:1]](/data/globaldata/usmilies/sms-1.gif "[:sms:1]")
Dieu créa le chat pour permettre à l'homme de caresser un tigre
acrobaze
le 20 avril 2005 à 23h18
-Lance LSPFix
-Coche "I know what I'm doing"
-Sans rien faire d'autre, clique "Finish".
-Coche "I know what I'm doing"
-Sans rien faire d'autre, clique "Finish".
Non, ça, c'est bon lorsqu'il y a un "file missing" ou malware ou valide mais non utilisé.
Dans ce cas-là :
-Coche "I know what I'm doing"
-Fais passer de gauche à droite tous les aklsp.dll et dolsp.dll
-Clique "Finish"
-Reboot
==================
Tu as raison de commencer par ça. C'est facile à faire et ça donne un premier nettoyage.
Il faudrait dans ce premier temps :
- Se débarrasser des O10 donc avec LspFix,
- Désinstaller tout ce que l'on peut par ajout/suppr de progs
- Désactiver les services nuisibles.
====================
Donc on reconnaît l'infection dite "Vx2" à plusieurs choses :
- nombreux popups de pubs pornos etc...
- présence d'une O20 de ce type :
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\m8poli7318.dll où la dll porte un nom à rallonge composé de caractères aléatoires.
- des lignes O1 (mais ce n'est pas le cas ici), qui réapparaissent sans arrêt.
pow-wow
le 20 avril 2005 à 23h27
OK
Pour LspFix, c'est compris.
Je suis impatient de voir pour le log L2mfix
![[:ducatman:1]](/data/globaldata/usmilies/ducatman-1.gif "[:ducatman:1]")
-------
Dieu créa le chat pour permettre à l'homme de caresser un tigre
Dieu créa le chat pour permettre à l'homme de caresser un tigre
acrobaze
le 20 avril 2005 à 23h33
pow-wow a écrit :
:hello: OK
Pour LspFix, c'est compris.
Je suis impatient de voir pour le log L2mfix
Le voilà :
L2MFIX find log 1.02b
These are the registry keys present
************************************************** ********************************
Winlogon/notify:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Controls Folder]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\q086lals1dq6.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00, 2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00, 74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00, 79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00, 79,00,2e,00,64,00,\
6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00, 79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
************************************************** ********************************
useragent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\User Agent\Post Platform]
"{A26E6A48-92E7-4B6F-8DF4-A60001FC61B4}"=""
************************************************** ********************************
Shell Extension key:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Multimedia File Property Sheet"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM Scanner Management"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS Security Page"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE Docfile Property Page"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shell extensions for sharing"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Display Adapter CPL Extension"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Display Monitor CPL Extension"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Display Panning CPL Extension"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS Security Page"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Compatibility Page"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell Scrap DataHandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Disk Copy Extension"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shell extensions for Microsoft Windows Network objects"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM Monitor Management"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM Printer Management"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shell extensions for file compression"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Web Printer Shell Extension"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Encryption Context Menu"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Briefcase"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="HyperTerminal Icon Ext"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC Profile"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Printers Security Page"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shell extensions for sharing"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Crypto PKO Extension"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Crypto Sign Extension"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Network Connections"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Network Connections"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanners & Cameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanners & Cameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanners & Cameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanners & Cameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanners & Cameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shell extensions for Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Data Link"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Scheduled Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskbar and Start Menu"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Search"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Help and Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Help and Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Run..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Fonts"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Administrative Tools"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Address"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Address Bar Parser"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="History"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite Splash Screen"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="The Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX Cache Folder"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ file thumbnail extractor"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML Thumbnail Extractor"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Web Publishing Wizard"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Print Ordering via the Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shell Publishing Wizard Object"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Get a Passport Wizard"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="User Accounts"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channel File"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channel Shortcut"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Offline Files Folder"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="For &People..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Web Folders"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{E910F8F7-615B-4585-B8AA-B9B958C27717}"=""
"{BE3CC1A3-C973-4567-9FA3-4EDF5FB6B654}"=""
************************************************** ********************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{E910F8F7-615B-4585-B8AA-B9B958C27717}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{E910F8F7-615B-4585-B8AA-B9B958C27717}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{E910F8F7-615B-4585-B8AA-B9B958C27717}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{E910F8F7-615B-4585-B8AA-B9B958C27717}\InprocServer32]
@="C:\\WINDOWS\\system32\\wwhisn.dll"
"ThreadingModel"="Apartment"
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{BE3CC1A3-C973-4567-9FA3-4EDF5FB6B654}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{BE3CC1A3-C973-4567-9FA3-4EDF5FB6B654}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{BE3CC1A3-C973-4567-9FA3-4EDF5FB6B654}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{BE3CC1A3-C973-4567-9FA3-4EDF5FB6B654}\InprocServer32]
@="C:\\WINDOWS\\system32\\iLssam.dll"
"ThreadingModel"="Apartment"
************************************************** ********************************
Files Found are not all bad files:
C:\WINDOWS\SYSTEM32\
aklsp.dll Wed Feb 16 2005 9:13:54p A.... 196,608 192.00 K
akrules.dll Wed Feb 16 2005 9:13:54p A.... 110,592 108.00 K
akupd.dll Wed Feb 16 2005 9:13:46p A.... 155,648 152.00 K
aunbho.dll Fri Feb 25 2005 7:45:34p A.... 43,496 42.48 K
aunps.dll Fri Feb 25 2005 7:45:34p A.... 25,600 25.00 K
budispl.dll Wed Mar 2 2005 1:12:02p ..S.R 230,272 224.88 K
d2j02c~1.dll Tue Mar 1 2005 2:03:00p ..S.R 229,812 224.43 K
docore.dll Thu Feb 17 2005 11:02:34a A.... 151,552 148.00 K
dolsp.dll Thu Feb 17 2005 11:02:36a A.... 139,264 136.00 K
dosync.dll Mon Feb 28 2005 4:01:30p A.... 114,688 112.00 K
f82mli~1.dll Wed Feb 16 2005 9:33:20p ..S.R 229,736 224.35 K
g8lmli~1.dll Tue Mar 1 2005 2:11:16p ..S.R 229,319 223.94 K
ilssam.dll Wed Mar 2 2005 1:35:46p ..S.R 229,040 223.67 K
ir02l5~1.dll Sat Feb 26 2005 7:34:02p ..S.R 229,362 223.98 K
irl8l5~1.dll Mon Feb 28 2005 9:38:26p ..S.R 228,881 223.52 K
ixuze.dll Fri Feb 25 2005 8:03:14p A.... 99,840 97.50 K
jdopf.dll Fri Feb 25 2005 7:56:30p A.... 98,816 96.50 K
jt4807~1.dll Fri Feb 25 2005 10:03:16p ..S.R 230,209 224.81 K
kqdla.dll Tue Mar 1 2005 2:15:46p A.... 229,319 223.94 K
lv6o09~1.dll Tue Mar 1 2005 2:02:00p ..S.R 229,688 224.30 K
lvrq09~1.dll Fri Feb 25 2005 7:39:10p ..S.R 228,499 223.14 K
m8po0i~1.dll Wed Mar 2 2005 1:34:38p ..S.R 231,650 226.22 K
mwtime.dll Fri Feb 25 2005 9:26:46p ..S.R 231,976 226.54 K
nlrrhook.dll Tue Mar 1 2005 2:02:00p A.... 229,319 223.94 K
pbxdflt.dll Wed Feb 16 2005 9:07:40p A.... 229,736 224.35 K
q086la~1.dll Wed Mar 2 2005 1:30:38p ..S.R 229,040 223.67 K
sotrmnl.dll Tue Mar 1 2005 10:32:30a ..S.R 229,319 223.94 K
sporder.dll Wed Feb 16 2005 9:13:54p A.... 8,464 8.27 K
wuascr.dll Tue Mar 1 2005 2:05:16p A.... 229,319 223.94 K
29 items found: 29 files (14 H/S), 0 directories.
Total of file sizes: 5,279,064 bytes 5.03 M
Locate .tmp files:
No matches found.
************************************************** ********************************
Directory Listing of system files:
Volume in drive C has no label.
Volume Serial Number is 1CB6-18D8
Directory of C:\WINDOWS\System32
03/02/2005 01:35 PM 229,040 iLssam.dll
03/02/2005 01:34 PM 231,650 m8po0i73e8.dll
03/02/2005 01:30 PM 229,040 q086lals1dq6.dll
03/02/2005 01:12 PM 230,272 budispl.dll
03/01/2005 02:11 PM 229,319 g8lmli3118.dll
03/01/2005 02:02 PM 229,812 d2j02c1mgf.dll
03/01/2005 02:01 PM 229,688 lv6o09j3e.dll
03/01/2005 10:32 AM 229,319 SOtrmNL.dll
02/28/2005 09:38 PM 228,881 irl8l53u1.dll
02/26/2005 07:34 PM 229,362 ir02l5do1.dll
02/25/2005 10:03 PM 230,209 jt4807hue.dll
02/25/2005 09:26 PM 231,976 mwtime.dll
02/25/2005 07:57 PM <DIR> dllcache
02/25/2005 07:39 PM 228,499 lvrq0995e.dll
02/16/2005 09:33 PM 229,736 f82mlif1182.dll
08/05/2003 02:22 PM <DIR> Microsoft
14 File(s) 3,216,803 bytes
2 Dir(s) 61,813,104,640 bytes free
Mais il ne faut pas s'inquiéter en voyant ça. Ce n'est pas un rapport où l'on va intervenir. Il permet juste (et c'est déjà bien) de CONSTATER l'infection.
pow-wow
le 20 avril 2005 à 23h52
Donc si j'ai bien retenu le début de la leçon, il faut préter attention aux dll au nom aléatoire telles que:
parmi lesquelles je trouve une quasi similaire à la ligne:
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\m8poli7318.dll
Vu le nom des autres, elles paraissent douteuses aussi.
De plus, si la date de création de ces dll est récente, l'infection est "confirmée". Dans le cas présent elles datent toutes de 2005.
Fort de ce constat, je passe à l'étape 2 de la procédure L2mfix![[:arob:1]](/data/globaldata/usmilies/arob-1.gif "[:arob:1]")
je ne connais pas cette phase faute d'avoir utilisé le programme.
Quel est le verdict du Maitre?![[:labbaipierre:5]](/data/globaldata/usmilies/labbaipierre-5.gif "[:labbaipierre:5]")
Directory Listing of system files:
Volume in drive C has no label.
Volume Serial Number is 1CB6-18D8
Directory of C:\WINDOWS\System32
03/02/2005 01:35 PM 229,040 iLssam.dll
03/02/2005 01:34 PM 231,650 m8po0i73e8.dll
03/02/2005 01:30 PM 229,040 q086lals1dq6.dll
03/02/2005 01:12 PM 230,272 budispl.dll
03/01/2005 02:11 PM 229,319 g8lmli3118.dll
03/01/2005 02:02 PM 229,812 d2j02c1mgf.dll
03/01/2005 02:01 PM 229,688 lv6o09j3e.dll
03/01/2005 10:32 AM 229,319 SOtrmNL.dll
02/28/2005 09:38 PM 228,881 irl8l53u1.dll
02/26/2005 07:34 PM 229,362 ir02l5do1.dll
02/25/2005 10:03 PM 230,209 jt4807hue.dll
02/25/2005 09:26 PM 231,976 mwtime.dll
02/25/2005 07:57 PM <DIR> dllcache
02/25/2005 07:39 PM 228,499 lvrq0995e.dll
02/16/2005 09:33 PM 229,736 f82mlif1182.dll
08/05/2003 02:22 PM <DIR> Microsoft
14 File(s) 3,216,803 bytes
2 Dir(s) 61,813,104,640 bytes free
Volume in drive C has no label.
Volume Serial Number is 1CB6-18D8
Directory of C:\WINDOWS\System32
03/02/2005 01:35 PM 229,040 iLssam.dll
03/02/2005 01:34 PM 231,650 m8po0i73e8.dll
03/02/2005 01:30 PM 229,040 q086lals1dq6.dll
03/02/2005 01:12 PM 230,272 budispl.dll
03/01/2005 02:11 PM 229,319 g8lmli3118.dll
03/01/2005 02:02 PM 229,812 d2j02c1mgf.dll
03/01/2005 02:01 PM 229,688 lv6o09j3e.dll
03/01/2005 10:32 AM 229,319 SOtrmNL.dll
02/28/2005 09:38 PM 228,881 irl8l53u1.dll
02/26/2005 07:34 PM 229,362 ir02l5do1.dll
02/25/2005 10:03 PM 230,209 jt4807hue.dll
02/25/2005 09:26 PM 231,976 mwtime.dll
02/25/2005 07:57 PM <DIR> dllcache
02/25/2005 07:39 PM 228,499 lvrq0995e.dll
02/16/2005 09:33 PM 229,736 f82mlif1182.dll
08/05/2003 02:22 PM <DIR> Microsoft
14 File(s) 3,216,803 bytes
2 Dir(s) 61,813,104,640 bytes free
parmi lesquelles je trouve une quasi similaire à la ligne:
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\m8poli7318.dll
Vu le nom des autres, elles paraissent douteuses aussi.
De plus, si la date de création de ces dll est récente, l'infection est "confirmée". Dans le cas présent elles datent toutes de 2005.
Fort de ce constat, je passe à l'étape 2 de la procédure L2mfix
je ne connais pas cette phase faute d'avoir utilisé le programme.Quel est le verdict du Maitre?
-------
Dieu créa le chat pour permettre à l'homme de caresser un tigre
Dieu créa le chat pour permettre à l'homme de caresser un tigre
acrobaze
le 20 avril 2005 à 23h58
pow-wow a écrit :
Donc si j'ai bien retenu le début de la leçon, il faut préter attention aux dll au nom aléatoire telles que:Directory Listing of system files:
Volume in drive C has no label.
Volume Serial Number is 1CB6-18D8
Directory of C:\WINDOWS\System32
03/02/2005 01:35 PM 229,040 iLssam.dll
03/02/2005 01:34 PM 231,650 m8po0i73e8.dll
03/02/2005 01:30 PM 229,040 q086lals1dq6.dll
03/02/2005 01:12 PM 230,272 budispl.dll
03/01/2005 02:11 PM 229,319 g8lmli3118.dll
03/01/2005 02:02 PM 229,812 d2j02c1mgf.dll
03/01/2005 02:01 PM 229,688 lv6o09j3e.dll
03/01/2005 10:32 AM 229,319 SOtrmNL.dll
02/28/2005 09:38 PM 228,881 irl8l53u1.dll
02/26/2005 07:34 PM 229,362 ir02l5do1.dll
02/25/2005 10:03 PM 230,209 jt4807hue.dll
02/25/2005 09:26 PM 231,976 mwtime.dll
02/25/2005 07:57 PM <DIR> dllcache
02/25/2005 07:39 PM 228,499 lvrq0995e.dll
02/16/2005 09:33 PM 229,736 f82mlif1182.dll
08/05/2003 02:22 PM <DIR> Microsoft
14 File(s) 3,216,803 bytes
2 Dir(s) 61,813,104,640 bytes free
Volume in drive C has no label.
Volume Serial Number is 1CB6-18D8
Directory of C:\WINDOWS\System32
03/02/2005 01:35 PM 229,040 iLssam.dll
03/02/2005 01:34 PM 231,650 m8po0i73e8.dll
03/02/2005 01:30 PM 229,040 q086lals1dq6.dll
03/02/2005 01:12 PM 230,272 budispl.dll
03/01/2005 02:11 PM 229,319 g8lmli3118.dll
03/01/2005 02:02 PM 229,812 d2j02c1mgf.dll
03/01/2005 02:01 PM 229,688 lv6o09j3e.dll
03/01/2005 10:32 AM 229,319 SOtrmNL.dll
02/28/2005 09:38 PM 228,881 irl8l53u1.dll
02/26/2005 07:34 PM 229,362 ir02l5do1.dll
02/25/2005 10:03 PM 230,209 jt4807hue.dll
02/25/2005 09:26 PM 231,976 mwtime.dll
02/25/2005 07:57 PM <DIR> dllcache
02/25/2005 07:39 PM 228,499 lvrq0995e.dll
02/16/2005 09:33 PM 229,736 f82mlif1182.dll
08/05/2003 02:22 PM <DIR> Microsoft
14 File(s) 3,216,803 bytes
2 Dir(s) 61,813,104,640 bytes free
parmi lesquelles je trouve une quasi similaire à la ligne:
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\m8poli7318.dll
Vu le nom des autres, elles paraissent douteuses aussi.
De plus, si la date de création de ces dll est récente, l'infection est "confirmée". Dans le cas présent elles datent toutes de 2005.
Fort de ce constat, je passe à l'étape 2 de la procédure L2mfix
je ne connais pas cette phase faute d'avoir utilisé le programme.Quel est le verdict du Maitre?
C'est exactement ça. L'infection a commencé fin 2004. Donc si les fichiers présents sont antérieurs, pas la peine de continuer.
Voici pour la phase 2 :
Donc maintenant :
- Ferme tes applications, il va y avoir un reboot.
- Tu double-cliques l2mfix.bat et cette fois-ci, tu choisis l'option 2 (taper 2 et entrée). Ne t'inquiète pas si le bureau ou les icônes disparaissent un instant. C'est normal.
Pareil, il y aura un fichier texte à la fin.
- Copie/colle ce fichier texte et un nouvel HijackThis, pour finir.
|
page précédente |
1 - 2 - 3 - 4 - 5 - 6 - 7 |
page suivante | |
À PROPOS DU FORUM MICRO HEBDO
LES FORUMS THÉMATIQUES ET TECHNIQUES
- Matériels |
- Logiciels |
- Windows, Linux, Mac et les autres... |
- Questions techniques diverses |
- Internet, réseaux et high tech |
- Photo numérique
LES FORUMS GÉNÉRAUX
ARCHIVES DU FORUM
publicité
Messages des modérateurs
Discussions les plus actives
- point d'entrée de procédure gdigetbitmapbitssize [résolu]
- Disque D plein. Comment faire de la place. [résolu]
- [RESOLU] Virus supprimés mais dossier conteneur récalcitrant
- system security kesko?(resolu)
- Il reboot, Internet explorer doit fermer, Acrobat reader HS
- USB malade?
- consequences du virus "antivirus A360" [ RESOLU ]
- navigation internet très lente [RESOLU]
- problèmes avec trojan downloader.js
- Mise à jour Ccleaner [résolu]
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Nous contacter
|
Charte de confiance
|
Voir notice légale
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
Tous droits réservés © 1999 - 2009 Internext - 01net.