LE NEWSMAGAZINE Nº1 DES NOUVELLES TECHNOLOGIES
375 utilisateurs connectés
 |
page précédente |
1 - 2 - 3 - 4 - 5 - 6 - 7 |
page suivante |  |
Tuto Pratique HijackThis
acrobaze
le 19 mai 2005 à 20h56
yannik a écrit :
Et donc après, la désinsfection est complète ?
Non, car on ne voit pas tous les fichiers avec HijackThis.
Il faut obtenir un rapport findit's:
Va ICI.
et télécharge FindIt's.zip sur ton bureau. Dézippe les fichiers et double-clique "FindIt's.bat"
pour le lancer. Laisse-le travailler, ça peut être long. A la fin, il produit un fichier texte.
Copie/colle ce fichier texte ici.
et télécharge FindIt's.zip sur ton bureau. Dézippe les fichiers et double-clique "FindIt's.bat"
pour le lancer. Laisse-le travailler, ça peut être long. A la fin, il produit un fichier texte.
Copie/colle ce fichier texte ici.
Dans l'exemple de ce log, il a donné ceci :
Microsoft Windows XP [Version 5.1.2600]
The current date is: 09/05/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first
* UPX! C:\WINDOWS\MOQXLK~1.EXE
* UPX! C:\WINDOWS\NAIL.EXE
* UPX! C:\WINDOWS\SVCPROC.EXE
* UPX! C:\WINDOWS\UNWASH5.EXE
* UPX! C:\WINDOWS\ZIPINST.EXE
* Sniffed C:\WINDOWS\System32\DRPMON.DLL
»»»»» lagitamate file's can/will show in this section.
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
* buddy C:\WINDOWS\MOQXLK~1.EXE
»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»» Checking Windir\svcproc.exe and nail.exe.
svcproc.exe
Nail.exe
»»»»» Checking for System32\DrPMon.dll.
DrPMon.dll
»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.
Volume in drive C has no label.
Volume Serial Number is 8802-0284
Directory of C:\WINDOWS\SYSTEM32
»»»»» Checking for SAHAgent ico files.
Volume in drive C has no label.
Volume Serial Number is 8802-0284
Directory of C:\WINDOWS\system32
02/05/2005 21:57 3,262 creditcard32123123123asdsa.ico
02/05/2005 21:57 4,286 greenmovie2313asaadsasfad112341231adsfa.ico
02/05/2005 21:57 3,262 kill popups.ico
02/05/2005 21:57 4,286 mp3red51aads.ico
02/05/2005 21:57 2,238 red_kas21.ico
17/08/2001 05:42 7,406 SBAudigy.ico
02/05/2005 21:57 3,262 vh e233.ico
7 File(s) 28,002 bytes
0 Dir(s) 126,296,993,792 bytes free
»»»»»»»»»»»»»»»»»»»»»»»».
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\aurora
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Bolger
! REG.EXE VERSION 3.0
HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj
<NO NAME> REG_SZ Bolger Functional Class
! REG.EXE VERSION 3.0
HKEY_CLASSES_ROOT\CLSID\{302A3240-4805-4a34-97D7-1645A0B08410}
<NO NAME> REG_SZ BolgerObj Class
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Print\Monitors\ZepMon
Driver REG_SZ DrPMon.dll
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Pr int\Monitors\ZepMon
Driver REG_SZ DrPMon.dll
The current date is: 09/05/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first
* UPX! C:\WINDOWS\MOQXLK~1.EXE
* UPX! C:\WINDOWS\NAIL.EXE
* UPX! C:\WINDOWS\SVCPROC.EXE
* UPX! C:\WINDOWS\UNWASH5.EXE
* UPX! C:\WINDOWS\ZIPINST.EXE
* Sniffed C:\WINDOWS\System32\DRPMON.DLL
»»»»» lagitamate file's can/will show in this section.
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
* buddy C:\WINDOWS\MOQXLK~1.EXE
»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»» Checking Windir\svcproc.exe and nail.exe.
svcproc.exe
Nail.exe
»»»»» Checking for System32\DrPMon.dll.
DrPMon.dll
»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.
Volume in drive C has no label.
Volume Serial Number is 8802-0284
Directory of C:\WINDOWS\SYSTEM32
»»»»» Checking for SAHAgent ico files.
Volume in drive C has no label.
Volume Serial Number is 8802-0284
Directory of C:\WINDOWS\system32
02/05/2005 21:57 3,262 creditcard32123123123asdsa.ico
02/05/2005 21:57 4,286 greenmovie2313asaadsasfad112341231adsfa.ico
02/05/2005 21:57 3,262 kill popups.ico
02/05/2005 21:57 4,286 mp3red51aads.ico
02/05/2005 21:57 2,238 red_kas21.ico
17/08/2001 05:42 7,406 SBAudigy.ico
02/05/2005 21:57 3,262 vh e233.ico
7 File(s) 28,002 bytes
0 Dir(s) 126,296,993,792 bytes free
»»»»»»»»»»»»»»»»»»»»»»»».
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\aurora
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Bolger
! REG.EXE VERSION 3.0
HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj
<NO NAME> REG_SZ Bolger Functional Class
! REG.EXE VERSION 3.0
HKEY_CLASSES_ROOT\CLSID\{302A3240-4805-4a34-97D7-1645A0B08410}
<NO NAME> REG_SZ BolgerObj Class
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Print\Monitors\ZepMon
Driver REG_SZ DrPMon.dll
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Pr int\Monitors\ZepMon
Driver REG_SZ DrPMon.dll
répondre
acrobaze
le 19 mai 2005 à 20h59
pow-wow a écrit :
bonjour Acrobaze, ça faisait longtemps
nail.exe /FullRemove <-- peut-on remplacer par nail.exe /Babymove?
Bolger.dll a du mal à être délogé, utilisation de Killbox.
Arf!
C'était une mauvaise blague de ma part sur l'autre forum...cette commande "Babymove" n'existe pas... Oui, on va supprimer Bolger avec KillBox. En mm temps que les autres fichiers trouvés par Findit's.
Note : Il y a plusieurs façons de s'y prendre pour Aurora. Celle-ci est la plus longue. On verra les autres ensuite.
yannik
le 19 mai 2005 à 21h00
Utiliser Killbox, et détruire ces fichiers grâce à lui :
C:\WINDOWS\MOQXLK~1.EXE
C:\WINDOWS\NAIL.EXE
C:\WINDOWS\SVCPROC.EXE
C:\WINDOWS\UNWASH5.EXE
C:\WINDOWS\ZIPINST.EXE
Normalement, la désinsfection sera ensuite complète, n'est-ce pas ?
C:\WINDOWS\MOQXLK~1.EXE
C:\WINDOWS\NAIL.EXE
C:\WINDOWS\SVCPROC.EXE
C:\WINDOWS\UNWASH5.EXE
C:\WINDOWS\ZIPINST.EXE
Normalement, la désinsfection sera ensuite complète, n'est-ce pas ?
-------
acrobaze
le 19 mai 2005 à 21h02
Donc, si on choisit cette façon-là, il va falloir faire attention à ceci :
Dans cet exemple,
* UPX! C:\WINDOWS\UNWASH5.EXE
* UPX! C:\WINDOWS\ZIPINST.EXE
sont des fichiers valides à ne pas supprimer. On les trouve par Google.
Dont delete file's in the section without guidance
If any doubt back them up first
* UPX! C:\WINDOWS\MOQXLK~1.EXE
* UPX! C:\WINDOWS\NAIL.EXE
* UPX! C:\WINDOWS\SVCPROC.EXE
* UPX! C:\WINDOWS\UNWASH5.EXE
* UPX! C:\WINDOWS\ZIPINST.EXE
If any doubt back them up first
* UPX! C:\WINDOWS\MOQXLK~1.EXE
* UPX! C:\WINDOWS\NAIL.EXE
* UPX! C:\WINDOWS\SVCPROC.EXE
* UPX! C:\WINDOWS\UNWASH5.EXE
* UPX! C:\WINDOWS\ZIPINST.EXE
Dans cet exemple,
* UPX! C:\WINDOWS\UNWASH5.EXE
* UPX! C:\WINDOWS\ZIPINST.EXE
sont des fichiers valides à ne pas supprimer. On les trouve par Google.
pow-wow
le 19 mai 2005 à 21h02
acrobaze a écrit :
Arf!
C'était une mauvaise blague de ma part sur l'autre forum...cette commande "Babymove" n'existe pas... Oui, on va supprimer Bolger avec KillBox. En mm temps que les autres fichiers trouvés par Findit's.
Note : Il y a plusieurs façons de s'y prendre pour Aurora. Celle-ci est la plus longue. On verra les autres ensuite.
En tout cas j'ai marché, venant de ta part j'y ai cru
-------
Dieu créa le chat pour permettre à l'homme de caresser un tigre![[:pow-wow:8]](/data/globaldata/usmilies/powwow-8.gif "[:pow-wow:8]")
![[:pow-wow:3]](/data/globaldata/usmilies/powwow-3.gif "[:pow-wow:3]")
![[:sms:1]](/data/globaldata/usmilies/sms-1.gif "[:sms:1]")
Dieu créa le chat pour permettre à l'homme de caresser un tigre
acrobaze
le 19 mai 2005 à 21h04
pow-wow a écrit :
En tout cas j'ai marché, venant de ta part j'y ai cru
En fait j'avais édité le message après...
On verra une méthode plus rapide ensuite...mais comprendre celle-ci permet de bien envisager le problème.
yannik
le 19 mai 2005 à 21h05
Ok, c'est bon à savoir, merci acrobaze. En fin de compte, il n'y a que cette partie de Find-It qui est utile pour la desinsfection ?
-------
acrobaze
le 19 mai 2005 à 21h18
yannik a écrit :
Ok, c'est bon à savoir, merci acrobaze. En fin de compte, il n'y a que cette partie de Find-It qui est utile pour la desinsfection ? Et suppression de tous les *.ico aussi :
Directory of C:\WINDOWS\system32
02/05/2005 21:57 3,262 creditcard32123123123asdsa.ico
02/05/2005 21:57 4,286 greenmovie2313asaadsasfad112341231adsfa.ico
02/05/2005 21:57 3,262 kill popups.ico
02/05/2005 21:57 4,286 mp3red51aads.ico
02/05/2005 21:57 2,238 red_kas21.ico
17/08/2001 05:42 7,406 SBAudigy.ico
02/05/2005 21:57 3,262 vh e233.ico
02/05/2005 21:57 3,262 creditcard32123123123asdsa.ico
02/05/2005 21:57 4,286 greenmovie2313asaadsasfad112341231adsfa.ico
02/05/2005 21:57 3,262 kill popups.ico
02/05/2005 21:57 4,286 mp3red51aads.ico
02/05/2005 21:57 2,238 red_kas21.ico
17/08/2001 05:42 7,406 SBAudigy.ico
02/05/2005 21:57 3,262 vh e233.ico
sauf comme ci : SBAudigy.ico qui est daté de 2001.
yannik
le 19 mai 2005 à 21h24
Ok, mais c'est vraiment utile ceci ? Ce ne sont que des icônes... Ais-je tort ?
-------
pow-wow
le 19 mai 2005 à 21h26
Faut-il intervenir dans le registre aussi?
-------
Dieu créa le chat pour permettre à l'homme de caresser un tigre
Dieu créa le chat pour permettre à l'homme de caresser un tigre
pow-wow
le 19 mai 2005 à 21h30
Sur CC, C:\WINDOWS\System32\DRPMON.DLL est considéré comme néfaste aussi.
-------
Dieu créa le chat pour permettre à l'homme de caresser un tigre
Dieu créa le chat pour permettre à l'homme de caresser un tigre
acrobaze
le 19 mai 2005 à 21h41
Si l'on s'y prend comme ça, et que l'on veut aller jusqu'au bout, on intervient dans le registre pour y supprimer les traces du service désactivé.
Oui, ce fichier est signalé par findit's:
---------
Pour les fichiers *.ico, il faut les supprimer. Ils font partie de l'infection.
Oui, ce fichier est signalé par findit's:
* Sniffed C:\WINDOWS\System32\DRPMON.DLL
---------
Pour les fichiers *.ico, il faut les supprimer. Ils font partie de l'infection.
Labbaipierre
le 19 mai 2005 à 22h55
Merci Acrobaze pour la leçon.
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
acrobaze
le 19 mai 2005 à 23h30
Donc ceci, c'est la 1ère manière, la plus compliquée en fait, et celle où il faut être le plus prudent, car des fichiers légitimes sont signalés par Findit's.
En résumé :
- Stopper et désactiver System Startup Service (SvcProc)
- Faire un log Findit's
- Suprimer avec KillBox les fichiers signalés
- En remettre une couche pour Nail.exe (Commande FullRemove)
- Terminer en fixant les lignes résiduelles dans HijackThis.
En résumé :
- Stopper et désactiver System Startup Service (SvcProc)
- Faire un log Findit's
- Suprimer avec KillBox les fichiers signalés
- En remettre une couche pour Nail.exe (Commande FullRemove)
- Terminer en fixant les lignes résiduelles dans HijackThis.
yannik
le 20 mai 2005 à 14h06
Ça va, c'est pas trop dur. 
Merci beaucoup, je vais enfin pouvoir répondre à ceux qui ont aurora.
Merci beaucoup, je vais enfin pouvoir répondre à ceux qui ont aurora.
-------
papanullos
le 20 mai 2005 à 20h17
sur les conseils de "toumou" je me permets de demander à celui qui apparement fait reference pour ce genre de probleme, j'ai nommé "acrobaze" ! 
donc moi aussi j'ai Aurora, j'ai essaye de suivre toutes les explications des differents post du forum et j'ai donc lance hitjahicks.
en voici le compte rendu:
Logfile of HijackThis v1.99.1
Scan saved at 07:43:05, on 16/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
D:\qttask.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\AceGain\LiveUpdate\aceagent.exe
C:\WINDOWS\System32\ctfmon.exe
c:\windows\system32\gtlzqv.exe
D:\Program Files\PCAlert4.exe
C:\Program Files\PyGrenouille\pygrenouille.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\LVComsX.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\WILLIAM\LOCALS~1\Temp\Rar$EX00.375\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\imedwt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WFFT Test] wffttest.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [yphlhwa] c:\windows\system32\gtlzqv.exe
O4 - HKLM\..\RunServices: [WFFT Test] wffttest.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [WFFT Test] wffttest.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Alert 4.lnk = D:\Program Files\PCAlert4.exe
O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/029b88ec07c63c7d5318/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.neuf.fr/components/Metaboli.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} - http://www.sponsoradulto.com/cab/14/fr/SysWebTelecomInt.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCD73C5F-0EC1-4D9B-86E0-178BDF42F4C1}: NameServer = 80.118.196.42 80.118.192.112
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
cela etant je suis pas un cador de l'informatique et apres ce rapport ben je sais pas quoi faire!!
alors si tu pouvais m'apporter tes lumieres "acrobaze" ce serait vachement sympa!!
d'avance merci!!
donc moi aussi j'ai Aurora, j'ai essaye de suivre toutes les explications des differents post du forum et j'ai donc lance hitjahicks.
en voici le compte rendu:
Logfile of HijackThis v1.99.1
Scan saved at 07:43:05, on 16/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
D:\qttask.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\AceGain\LiveUpdate\aceagent.exe
C:\WINDOWS\System32\ctfmon.exe
c:\windows\system32\gtlzqv.exe
D:\Program Files\PCAlert4.exe
C:\Program Files\PyGrenouille\pygrenouille.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\LVComsX.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\WILLIAM\LOCALS~1\Temp\Rar$EX00.375\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\imedwt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WFFT Test] wffttest.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [yphlhwa] c:\windows\system32\gtlzqv.exe
O4 - HKLM\..\RunServices: [WFFT Test] wffttest.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [WFFT Test] wffttest.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Alert 4.lnk = D:\Program Files\PCAlert4.exe
O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/029b88ec07c63c7d5318/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.neuf.fr/components/Metaboli.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} - http://www.sponsoradulto.com/cab/14/fr/SysWebTelecomInt.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCD73C5F-0EC1-4D9B-86E0-178BDF42F4C1}: NameServer = 80.118.196.42 80.118.192.112
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
cela etant je suis pas un cador de l'informatique et apres ce rapport ben je sais pas quoi faire!!
alors si tu pouvais m'apporter tes lumieres "acrobaze" ce serait vachement sympa!!
d'avance merci!!
Labbaipierre
le 20 mai 2005 à 20h27
papanullos a écrit :
sur les conseils de "toumou" je me permets de demander à celui qui apparement fait reference pour ce genre de probleme, j'ai nommé "acrobaze" ! donc moi aussi j'ai Aurora, j'ai essaye de suivre toutes les explications des differents post du forum et j'ai donc lance hitjahicks.
en voici le compte rendu:
Logfile of HijackThis v1.99.1
[...]
cela etant je suis pas un cador de l'informatique et apres ce rapport ben je sais pas quoi faire!!
alors si tu pouvais m'apporter tes lumieres "acrobaze" ce serait vachement sympa!!
d'avance merci!!
Si c'est uniquement à Acrobaze qu'est adressé ce message, tu lui envoies un Message Privé. Je rappelle au passage, que le forum est ouvert à toutes les participations... Je dis ça, je dis rien.
Et pour info, ce topic n'a pas pour but d'analyser vos rapports HijackThis... Mais seulement ceux que Acrobaze nous donne. Enfin si le tien peut faire objet d'expèrience, pourquoi pas
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
acrobaze
le 20 mai 2005 à 20h41
Ca va nous servir pour la DEUXIEME manière, la plus facile en fait.
----------1
Télécharge la versio d'essai de Ewido Security Suite sur :
http://www.ewido.net/en/download/
Installe-le.
Update les définitions.
Mais ne lance pas encore de scan.
------------2
Lance le bloc-notes et copies ce texte :
Sauve ce fichier en l'appelant Remove.bat en faisant attention que dans "Type ", tu aies choisi : "Tous les fichiers".
--------------3
Redémarre en mode sans échec.
1- Double-clique ton fichier "Remove.bat".
2- Lance un scan complet "Ewido". Supprime tout ce qu'il trouvera. Sauvegarde son log final.
3- Lance HijackThis et coche cette ligne :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
Clique "Fix checked".
-------------4
Redémarre en mode normal et poste un nouveau log.
----------1
Télécharge la versio d'essai de Ewido Security Suite sur :
http://www.ewido.net/en/download/
Installe-le.
Update les définitions.
Mais ne lance pas encore de scan.
------------2
Lance le bloc-notes et copies ce texte :
@ECHO OFF
cd %windir%
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
cd %windir%\system32
attrib -s -r -h DrPMon.dll
del DrPMon.dll
exit
cd %windir%
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
cd %windir%\system32
attrib -s -r -h DrPMon.dll
del DrPMon.dll
exit
Sauve ce fichier en l'appelant Remove.bat en faisant attention que dans "Type ", tu aies choisi : "Tous les fichiers".
--------------3
Redémarre en mode sans échec.
1- Double-clique ton fichier "Remove.bat".
2- Lance un scan complet "Ewido". Supprime tout ce qu'il trouvera. Sauvegarde son log final.
3- Lance HijackThis et coche cette ligne :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
Clique "Fix checked".
-------------4
Redémarre en mode normal et poste un nouveau log.
dude2005
le 20 mai 2005 à 21h12
Labbaipierre a écrit :
Et pour info, ce topic n'a pas pour but d'analyser vos rapports HijackThis... Mais seulement ceux que Acrobaze nous donne. Enfin si le tien peut faire objet d'expèrience, pourquoi pas A la décharge de papanullos on lui a dit explicitement de poster dans ce topic en fournissant le lien...
Cf son topic : http://forum.telecharger.01net.com/index.php?forum=microhebdo&page=forum3(...)
Positivons, si ça permet d'apprendre, COOL !
balltrap34
le 20 mai 2005 à 22h45
acrobaze que pense tu de ceci
http://users.pandora.be/bluepatchy/nailfix.zip
http://users.pandora.be/bluepatchy/nailfix.zip
acrobaze
le 20 mai 2005 à 23h13
Grosso modo, c'est la même chose que le fichier bat :
REM Originally by Swandog46 and miekiemoes from SpywareInfo.Com.
REM Modified by RACooper to combine 2K and XP routines to one file.
if exist process.exe (
process -k explorer.exe
) ELSE (
cmd /c "echo Process.exe missing. Please unzip completely and rerun this file.&&pause&&exit"
)
cd %windir%
Nail.exe /fullremove
del /a /f nail.exe svcproc.exe
cd %windir%\system32
del /a /f DrPMon.dll
echo REGEDIT4 > nailfix.reg
echo. >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_CURRENT_USER\Software\_rtneg3] >> nailfix.reg
echo [-HKEY_CURRENT_USER\Software\aurora] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{0962DA67-DB64-465C-8CD7-CBB357CAF825}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{356B2BD0-D206-4E21-8C85-C6F49409C6A9}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{52ADD86D-9561-4C40-B561-4204DBC139D1}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{999A06FF-10EF-4A29-8640-69E99882C26B}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{018C5406-AEE6-4A68-980F-2CEB1E9416FB}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{0A7FC040-F84A-4AD7-9439-798B6C0F861E}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{32A9D21F-F510-44DC-9EA6-0456EDA04668}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{4562B6F3-DAF8-464E-87B7-5464575F0D6A}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{C93CC79D-02D5-45B0-BE39-7F5B0E5DDA31}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{DA4B919F-B757-4E32-8D79-DEC5C2704C4B}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\trfdsk.amo] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\trfdsk.iiittt] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\trfdsk.momo] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\trfdsk.ohb] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\TypeLib\{DA15C9A2-C30A-4761-922A-5DFE7C9A1F67}] >> nailfix.reg
echo [-HKEY_CURRENT_USER\Software\Bolger] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{302A3240-4805-4a34-97D7-1645A0B08410}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon] >> nailfix.reg
regedit /s nailfix.reg
del nailfix.reg
start explorer.exe
exit
REM Modified by RACooper to combine 2K and XP routines to one file.
if exist process.exe (
process -k explorer.exe
) ELSE (
cmd /c "echo Process.exe missing. Please unzip completely and rerun this file.&&pause&&exit"
)
cd %windir%
Nail.exe /fullremove
del /a /f nail.exe svcproc.exe
cd %windir%\system32
del /a /f DrPMon.dll
echo REGEDIT4 > nailfix.reg
echo. >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\SvcProc] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_SvcProc] >> nailfix.reg
echo [-HKEY_CURRENT_USER\Software\_rtneg3] >> nailfix.reg
echo [-HKEY_CURRENT_USER\Software\aurora] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{0962DA67-DB64-465C-8CD7-CBB357CAF825}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{356B2BD0-D206-4E21-8C85-C6F49409C6A9}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{52ADD86D-9561-4C40-B561-4204DBC139D1}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{999A06FF-10EF-4A29-8640-69E99882C26B}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{018C5406-AEE6-4A68-980F-2CEB1E9416FB}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{0A7FC040-F84A-4AD7-9439-798B6C0F861E}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{32A9D21F-F510-44DC-9EA6-0456EDA04668}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{4562B6F3-DAF8-464E-87B7-5464575F0D6A}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{C93CC79D-02D5-45B0-BE39-7F5B0E5DDA31}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{DA4B919F-B757-4E32-8D79-DEC5C2704C4B}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\trfdsk.amo] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\trfdsk.iiittt] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\trfdsk.momo] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\trfdsk.ohb] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\TypeLib\{DA15C9A2-C30A-4761-922A-5DFE7C9A1F67}] >> nailfix.reg
echo [-HKEY_CURRENT_USER\Software\Bolger] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\BolgerDll.BolgerDllObj] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{302A3240-4805-4a34-97D7-1645A0B08410}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}] >> nailfix.reg
echo [-HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon] >> nailfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon] >> nailfix.reg
regedit /s nailfix.reg
del nailfix.reg
start explorer.exe
exit
balltrap34
le 20 mai 2005 à 23h20
oki
avec ont dirait un nettoyage plus profond de la bdr
avec ont dirait un nettoyage plus profond de la bdr
papanullos
le 21 mai 2005 à 00h02
merci dude! ça remet les choses dans le bon ordre...
papanullos
le 21 mai 2005 à 09h29
bon alors j'ai tout fait comme tu m'as dit mais là ou j'ai po compris c'est quand il fallait cocher la ligne f2... j'ai pas trouve de ligne f2 dans le log! j'ai aussi essaye de taper sur la touche f2...
mais bon en meme temps mon pseudo c'est "papanullos" j'ai des excuses!!
voici donc le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 09:03:51, on 21/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido\security suite\SecuritySuite.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\WILLIAM\LOCALS~1\Temp\Rar$EX00.735\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\imedwt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WFFT Test] wffttest.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\RunServices: [WFFT Test] wffttest.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [WFFT Test] wffttest.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Alert 4.lnk = D:\Program Files\PCAlert4.exe
O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/029b88ec07c63c7d5318/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.neuf.fr/components/Metaboli.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
est ce bon ou dois je faire quelque chose d'autre?
mais bon en meme temps mon pseudo c'est "papanullos" j'ai des excuses!!
voici donc le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 09:03:51, on 21/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido\security suite\SecuritySuite.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\WILLIAM\LOCALS~1\Temp\Rar$EX00.735\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\imedwt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WFFT Test] wffttest.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\RunServices: [WFFT Test] wffttest.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [WFFT Test] wffttest.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Alert 4.lnk = D:\Program Files\PCAlert4.exe
O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/029b88ec07c63c7d5318/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.neuf.fr/components/Metaboli.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
est ce bon ou dois je faire quelque chose d'autre?
herisson41
le 21 mai 2005 à 11h11
Merci acrobaze pour ce nouveau log auquel je n'ai pas participé mais que je vais étudier avec attention.
-------
![[:AleXiaO:3]](/data/globaldata/usmilies/alexiao-3.gif "[:AleXiaO:3]")
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
![[:fml:9]](/data/globaldata/usmilies/fml-9.gif "[:fml:9]")
Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
![[:juju07:2]](/data/globaldata/usmilies/juju07-2.gif "[:juju07:2]")
Liste des anniversaires à souhaiter
![[:herisson41:3]](/data/globaldata/usmilies/herisson41-3.gif "[:herisson41:3]")
Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ? Liste des anniversaires à souhaiter Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
acrobaze
le 21 mai 2005 à 12h54
papanullos
Je pense que tu en as terminé avec Aurora.
Compare les deux logs et vois que :
- Le service néfaste :
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
- Le fichier néfaste :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
ont disparu.
============
Il reste ceci qui n'a rien à voir :
Lance HijackThis et coche :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\imedwt.exe
O4 - HKLM\..\Run: [WFFT Test] wffttest.exe
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\RunServices: [WFFT Test] wffttest.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [WFFT Test] wffttest.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
Clique "Fix checked".
Recherche ces fichiers:
C:\WINDOWS\System32\imedwt.exe , wffttest.exe , MSMSN7.exe . Et supprime-les en mode sans échec. Mais je pense qu'ils ont déjà été supprimés.
Je pense que tu en as terminé avec Aurora.
Compare les deux logs et vois que :
- Le service néfaste :
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
- Le fichier néfaste :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
ont disparu.
============
Il reste ceci qui n'a rien à voir :
Lance HijackThis et coche :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\imedwt.exe
O4 - HKLM\..\Run: [WFFT Test] wffttest.exe
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\RunServices: [WFFT Test] wffttest.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [WFFT Test] wffttest.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
Clique "Fix checked".
Recherche ces fichiers:
C:\WINDOWS\System32\imedwt.exe , wffttest.exe , MSMSN7.exe . Et supprime-les en mode sans échec. Mais je pense qu'ils ont déjà été supprimés.
papanullos
le 21 mai 2005 à 19h18
ouaissssssssss!!!! super!!!! 
acrobaze vainqueur!!! aurora humilié!!!! lol
infiniment merci, vraiment!
pour ma culture personnelle, es tu informaticien ou juste passionne par l'informatique? paske là vraiment je suis assez scotche par tes connaissances. j'ai betement suivi tes indications mais sincerement tu m'aurais parle russe c'etait pareil!!
hitjahicks il montre koi en fait? ces numeros c'est quoi?
maintenant y a t il un logiciel quelconque qui premunisse de ce genre de saloperies? afin de pas venir t'enquiquiner tous les mois?
pour info j'ai norton, spysubtract,cwshredder,ad-aware se,adware away, spybot,reg cleaner et zone alarm!!
autant dire que je pensais etre blinde !!
et merci encore de ton aide precieuse.
acrobaze vainqueur!!! aurora humilié!!!! lol infiniment merci, vraiment!
pour ma culture personnelle, es tu informaticien ou juste passionne par l'informatique? paske là vraiment je suis assez scotche par tes connaissances. j'ai betement suivi tes indications mais sincerement tu m'aurais parle russe c'etait pareil!!
hitjahicks il montre koi en fait? ces numeros c'est quoi?
maintenant y a t il un logiciel quelconque qui premunisse de ce genre de saloperies? afin de pas venir t'enquiquiner tous les mois?
pour info j'ai norton, spysubtract,cwshredder,ad-aware se,adware away, spybot,reg cleaner et zone alarm!!
autant dire que je pensais etre blinde !!
et merci encore de ton aide precieuse.
acrobaze
le 22 mai 2005 à 13h50
Voilà. Je pense qu'en cas d'infection, on peut proposer ceci :
Puis dans le nouvel HijackThis, éliminer ce qui reste.
1- Télécharge ce fichier :
http://users.pandora.be/bluepatchy/nailfix.zip
Pour l'instant, dézippe-le simplement sur ton bureau, mais ne lance aucun fichier.
2- Télécharge Ewido Security Suite sur :
http://www.ewido.net/en/download/
Installe-le, redémarre et mets-le à jour.
Redémarre en mode sans échec.
1- Va dans le dossier où tu as décompressé NailFix et double clique : nailfix.cmd.
2- Lance un scan Ewido. Laisse-lui faire une analyse complète et supprimer ce qu'il trouvera.
3- Lorsque c'est terminé, toujours en sans échec, lance HijackThis et si elle est toujours présente, coche cette ligne:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
et clique "Fix checked".
Redémarre en mode normal et poste un nouvel HijackThis.
http://users.pandora.be/bluepatchy/nailfix.zip
Pour l'instant, dézippe-le simplement sur ton bureau, mais ne lance aucun fichier.
2- Télécharge Ewido Security Suite sur :
http://www.ewido.net/en/download/
Installe-le, redémarre et mets-le à jour.
Redémarre en mode sans échec.
1- Va dans le dossier où tu as décompressé NailFix et double clique : nailfix.cmd.
2- Lance un scan Ewido. Laisse-lui faire une analyse complète et supprimer ce qu'il trouvera.
3- Lorsque c'est terminé, toujours en sans échec, lance HijackThis et si elle est toujours présente, coche cette ligne:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
et clique "Fix checked".
Redémarre en mode normal et poste un nouvel HijackThis.
Puis dans le nouvel HijackThis, éliminer ce qui reste.
balltrap34
le 22 mai 2005 à 14h36
salut
Ewido Security Suite
c est un anti virus ou quoi stp
Ewido Security Suite
c est un anti virus ou quoi stp
acrobaze
le 22 mai 2005 à 15h09
balltrap34 a écrit :
salut Ewido Security Suite
c est un anti virus ou quoi stp
Oui, une version d'essai de 14 jours. Largement suffisant.
jean-chretien1
le 22 mai 2005 à 15h30
Bonjour acrobaze et bonjour à tous,
si je comprends bien, en cas d'infection comportant cette ligne F2, c'est l'action en priorité à effectuer (avant de fixer toute autre ligne du rapport) ?
(je parle du post intitulé " Voilà. Je pense qu'en cas d'infection, on peut proposer ceci :")
si je comprends bien, en cas d'infection comportant cette ligne F2, c'est l'action en priorité à effectuer (avant de fixer toute autre ligne du rapport) ?
(je parle du post intitulé " Voilà. Je pense qu'en cas d'infection, on peut proposer ceci :")
balltrap34
le 22 mai 2005 à 15h47
acrobaze a écrit :
Oui, une version d'essai de 14 jours. Largement suffisant.
compatible avec les autres anti virus ou risque de conflit
et desinstalation facile?
merci
acrobaze
le 22 mai 2005 à 17h24
jean-chretien1
Oui, parce qu'il y a d'autres fichiers que l'on ne voit pas avec HijackThis.
balltrap34
Jusqu'à présent, pas de pb. Et il faut le lancer en sans échec. Donc les autres ne sont pas actifs.
Oui, parce qu'il y a d'autres fichiers que l'on ne voit pas avec HijackThis.
balltrap34
Jusqu'à présent, pas de pb. Et il faut le lancer en sans échec. Donc les autres ne sont pas actifs.
jean-chretien1
le 22 mai 2005 à 18h11
merci pour ces précisions acrobaze
balltrap34
le 22 mai 2005 à 19h42
merci pour tous acrobaze
stany
le 16 juin 2005 à 20h27
salut a tous
une petite question me taraude à propos de lop.com:
dans le 3eme rapport, sur quoi te bases tu pour determiner que le probleme vient de lop.com.?
cette ligne? ---> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wvywjcdtyircmqfevhgxh.co...DcJlWqgj2E.html
"barre search" ?
car actuellement sur le forum un gars a posté un rapport, il parle de "barre search" mais il n'y a pas de ligne comme celle ci dessus.
merci
une petite question me taraude à propos de lop.com:
dans le 3eme rapport, sur quoi te bases tu pour determiner que le probleme vient de lop.com.?
cette ligne? ---> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wvywjcdtyircmqfevhgxh.co...DcJlWqgj2E.html
"barre search" ?
car actuellement sur le forum un gars a posté un rapport, il parle de "barre search" mais il n'y a pas de ligne comme celle ci dessus.
merci
-------
Cueillir les cerises avec la queue? J'avais déjà du mal avec la main!
Cueillir les cerises avec la queue? J'avais déjà du mal avec la main!
Labbaipierre
le 18 juin 2005 à 00h42
MOi c'est par rapport à cette ligne que j'identifie Lop.com, mais il y a d'autres façons (il faudrait un rapport lop).
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
dude2005
le 18 juin 2005 à 01h00
Labbaipierre a écrit :
MOi c'est par rapport à cette ligne que j'identifie Lop.com, mais il y a d'autres façons (il faudrait un rapport lop). http://forum.telecharger.01net.com/index.php?forum=microhebdo&page=forum3(...)
Regarde les dates...
Labbaipierre
le 23 juin 2005 à 16h59
dude2005 a écrit :
Tiens !
http://forum.telecharger.01net.com/index.php?forum=microhebdo&page=forum3(...)
Regarde les dates...
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
herisson41
le 12 octobre 2005 à 19h43
Afin de retrouver plus facilement chaque log sur lequel acrobaze nous a donné un "cours magistral" 
voici leur lien pour y accèder
Log 1 : cas des lignes R du type :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345
Popups indésirables, favoris indésirables, redirections.
Log 2 : cas des lignes R du type :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345
Popups indésirables, favoris indésirables, redirections.
Log 3 : Lop.com
Log 4 : Popups Elite (1)
Log 5 : Autre cas de popups PurityScan
Log 6 : NewNet et les O10
Log 7 : Divers malwares
Log 8 : O10 autres que NewNet, O15 et res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345
Log 9 : Pas de lancement d'HijackThis. Comment faire ? Utilisation de "StartDreck".
Log 10 : Vx2 (1) Présence de O20 avec dll longue et aléatoire.
Log 11 : Vx2 (2) Présence de O1 du type : O1 - Hosts: 69.20.16.183 auto.search.msn.com
Log 12 : Popups divers.
Log 13 : Aurora page 5
Log 14 : WinFixer...sans WinFixer : trojan Vundo! page 7
Log 15 : Wintools page 7
voici leur lien pour y accèder Log 1 : cas des lignes R du type :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345
Popups indésirables, favoris indésirables, redirections.
Log 2 : cas des lignes R du type :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345
Popups indésirables, favoris indésirables, redirections.
Log 3 : Lop.com
Log 4 : Popups Elite (1)
Log 5 : Autre cas de popups PurityScan
Log 6 : NewNet et les O10
Log 7 : Divers malwares
Log 8 : O10 autres que NewNet, O15 et res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345
Log 9 : Pas de lancement d'HijackThis. Comment faire ? Utilisation de "StartDreck".
Log 10 : Vx2 (1) Présence de O20 avec dll longue et aléatoire.
Log 11 : Vx2 (2) Présence de O1 du type : O1 - Hosts: 69.20.16.183 auto.search.msn.com
Log 12 : Popups divers.
Log 13 : Aurora page 5
Log 14 : WinFixer...sans WinFixer : trojan Vundo! page 7
Log 15 : Wintools page 7
-->Message édité par herisson41 le 16/10/2005 13:51:31<--
-------
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
Liste des anniversaires à souhaiter
Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ? Liste des anniversaires à souhaiter Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers. |
page précédente |
1 - 2 - 3 - 4 - 5 - 6 - 7 |
page suivante | |
À PROPOS DU FORUM MICRO HEBDO
LES FORUMS THÉMATIQUES ET TECHNIQUES
- Matériels |
- Logiciels |
- Windows, Linux, Mac et les autres... |
- Questions techniques diverses |
- Internet, réseaux et high tech |
- Photo numérique
LES FORUMS GÉNÉRAUX
ARCHIVES DU FORUM
publicité
Messages des modérateurs
Discussions les plus actives
- point d'entrée de procédure gdigetbitmapbitssize [résolu]
- Disque D plein. Comment faire de la place. [résolu]
- [RESOLU] Virus supprimés mais dossier conteneur récalcitrant
- system security kesko?(resolu)
- Il reboot, Internet explorer doit fermer, Acrobat reader HS
- USB malade?
- consequences du virus "antivirus A360" [ RESOLU ]
- navigation internet très lente [RESOLU]
- problèmes avec trojan downloader.js
- Mise à jour Ccleaner [résolu]
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Nous contacter
|
Charte de confiance
|
Voir notice légale
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
Tous droits réservés © 1999 - 2009 Internext - 01net.