LE NEWSMAGAZINE Nº1 DES NOUVELLES TECHNOLOGIES
59 utilisateurs connectés
Forum de Micro Hebdo / Windows, Linux, Mac et les autres... / Windows 2000/ page friend.fr pirate mon PC
page précédente  1 - 2
ou aller à la page
 page suivante

page friend.fr pirate mon PC

as2 le 05 octobre 2005 à 23h55
Bonjour,

1 - J'ai un béte fond d'image dans IE et dans l'explorateur, à l'endroit où il y a les boutons (ex. precedent, suivant) l'image de fond est apparement celui du site www.friend.fr car ce site c'est mis comme page de demarage, pareil pour l'explorateur windows (2000) ...

2 - J'ai téléchargé CCleaner, il me scan des milliers d'erreurs mais je n'ose pas les effacer...

3 - J'ai telechargé HijackThis, si vous voulez je vous donne le scan, car pour moi c'est du chinois, j'ai quand meme enlevé tout ce qui concernait friend.fr, puis redemarre, mais rien n'y fait....

Que dois-je faire de plus ???
répondre
jean-chretien1 le 05 octobre 2005 à 23h59
salut,

J'ai telechargé HijackThis, si vous voulez je vous donne le scan


oui :bien:
répondre
as2 le 06 octobre 2005 à 00h13
Logfile of HijackThis v1.99.1
Scan saved at 00:15:46, on 06/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\system32\ctfmon.exe
c:\winnt\system32\mrkscr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O3 - Toolbar: Friend - {AC3AEF75-0A6B-4AB8-82B5-2C9BA8396644} - C:\WINNT\system32\Friend\FrdParis.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O9 - Extra button: Friend - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\WINNT\system32\Friend\FrdParis.dll
O9 - Extra 'Tools' menuitem: Toolbar Icon - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\WINNT\system32\Friend\FrdParis.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.celebritaspoglie.net/all.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.clubic.com/components/Metaboli.ocx
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanGossuin.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604485.exe
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://www.desktoplife.net/generale.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6878DE3B-E810-456A-8AF9-B63742E26E7D}: NameServer = 212.151.137.170 212.247.156.66
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINNT\system32\Weather.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\ngserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

répondre
jean-chretien1 le 06 octobre 2005 à 00h18
ok.

Avant toute chose, Vas sur ce site http://virusscan.jotti.org/
Colle dans la case à gauche de parcourir
c:\winnt\system32\mkls.dll
clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse.

répondre
as2 le 06 octobre 2005 à 00h29
Service load: 0% 100%

File: mkls.dll_
Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
MD5 fedd004833737c0df2bef78f5569a541
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found AdWare.RK.a.1 (paranoid heuristics) (probable variant)

Statistics
Last file scanned at least one scanner reported something about: downloads.com, detected by:

Scanner Malware name
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web X
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus CryptExe
NOD32 X
Norman Virus Control X
UNA X
VBA32 IM-Worm.Win32.Opanki.1 (paranoid heuristics)


répondre
jean-chretien1 le 06 octobre 2005 à 01h16
refais le scanner ici http://www.virustotal.com/flash/index_en.html c'est le même principe mais il y a plus de tests
répondre
as2 le 06 octobre 2005 à 14h03
Bon, j'ai fait la solution de facilité, j'ai modifier l'image de fond utilisé par IE et Explorer et "piraté" par friend.fr (j'ai vu que c t possible de mettre sa propre image en fond de barres d'outil), sinon dans le registre il doit y avoir moyen de desactiver l'image utilisé, mais j'ose pas trop y toucher
répondre
as2 le 06 octobre 2005 à 14h06
This is a report processed by VirusTotal on 10/06/2005 at 14:02:05 (CET) after scanning the file "mkls.dll_" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 10.06.2005 no virus found
Avast 4.6.695.0 10.06.2005 no virus found
AVG 718 10.06.2005 no virus found
Avira 6.32.0.6 10.06.2005 no virus found
BitDefender 7.2 10.06.2005 no virus found
CAT-QuickHeal 8.00 10.06.2005 no virus found
ClamAV devel-20050917 10.06.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.05.2005 no virus found
eTrust-Vet 11.9.1.0 10.06.2005 no virus found
Fortinet 2.48.0.0 10.06.2005 suspicious
F-Prot 3.16c 10.06.2005 no virus found
Ikarus 0.2.59.0 10.06.2005 no virus found
Kaspersky 4.0.2.24 10.06.2005 no virus found
McAfee 4598 10.06.2005 no virus found
NOD32v2 1.1244 10.06.2005 no virus found
Norman 5.70.10 10.06.2005 no virus found
Panda 8.02.00 10.06.2005 no virus found
Sophos 3.98.0 10.06.2005 no virus found
Symantec 8.0 10.06.2005 no virus found
TheHacker 5.8.2.118 10.06.2005 no virus found
VBA32 3.10.4 10.05.2005 no virus found

répondre
jean-chretien1 le 06 octobre 2005 à 14h17
salut,

Ouvre hijackthis, vas dans "open the misc tool section", "open uninstall manager" puis "save list". Copie et colle le rapport généré ici

après on s'occupe des lignes O10
répondre
as2 le 06 octobre 2005 à 19h59
AC-3 ACM Decompressor
ACDSee 5.0 Standard Trial
Ad-aware 6 Personal
Adobe Acrobat 5.0
Adobe After Effects 5.0
Adobe GoLive CS (FRA)
Adobe Illustrator 10 Evaluation
Adobe PageMaker 6.5 Tryout
Adobe Photoshop CS
Adobe Premiere 6.0
Adobe Streamline 4.0 Tryout
Adobe SVG Viewer 3.0
Advanced RealMedia Export Plug-in for Premiere 6.0
AIDA32 v3.93
AMI-CW52 V.92 PCI Modem
ArcSoft PhotoBase 3
ArcSoft PhotoStudio 5
Arles Image Web Page Creator
Assistant Publication de sites Web Microsoft 1.53
Audacity 1.2.3
Avance AC'97 Audio
AVIcodec (remove only)
AviSplitCalc 3.46 Final (remove only)
Barre d'outils MSN
BeWAN ADSL modem
Bink and Smacker
Brow ser.Enhancer
Bureau Médias de Kazaa 2.0.2
CamStudio 2.0 Fr
CanoScan Toolbox 4.1
Carom3D
CC_ccStart
ccCommon
CCleaner (remove only)
Cdiscount photos
Cleaner 5 EZ
Compel Adaptec WinASPI
Correctif Windows 2000 - KB823182
Correctif Windows 2000 - KB823559
Correctif Windows 2000 - KB823980
Correctif Windows 2000 - KB824105
Correctif Windows 2000 - KB824141
Correctif Windows 2000 - KB824146
Correctif Windows 2000 - KB825119
Correctif Windows 2000 - KB826232
Correctif Windows 2000 - KB828028
Correctif Windows 2000 - KB828035
Correctif Windows 2000 - KB828749
Correctif Windows 2000 - KB835732
Correctif Windows 2000 (SP5) Q818043
CuteFTP
CuteFTP 5.0 XP
Dart 'm Up
DivX
DivX Player
DVD Shrink 3.2
Easy CD Creator 5 Platinum
eMule
Friend pour Internet Explorer
Frozen-Bubble 1.0
FTP Expert pour Windows95 et NT4
GSpot Codec Information Appliance
HijackThis 1.99.1
Image Transfer
ImageMixer for Sony
Indeo® software
Internet Explorer Q832894
Internet Wireless Devices
InterVideo WinDVD 4
Java 2 Runtime Environment, SE v1.4.1_02
Java Web Start
Kazaa Lite K++ v2.4.3
Kyodai Mahjongg
LiveReg (Symantec Corporation)
LiveUpdate 2.5 (Symantec Corporation)
Logiciel iTouch de Logitech
Logitech Print Service
Logitech QuickCam
Macromedia Dreamweaver MX
Macromedia Extension Manager
Macromedia Flash MX 2004
Macromedia Shockwave Player
Micro DVD Player
Microsoft Office XP Professional avec FrontPage
Microsoft Visual Basic 6.0 Édition Professionnelle (Français)
Minitel
mIRC
miroVIDEO DC30 series Premiere 6.0 Mise à jour de pilote
Mise à jour système du Lecteur Windows Media (Série 9)
Mozilla Firefox (1.0.7)
MSI Live Update 2
MSN Messenger 7.0
MSRedist
Neodivx
Nero Suite
Norton AntiVirus 2004
Norton AntiVirus 2004 (Symantec Corporation)
Norton AntiVirus Parent MSI
Norton WMI Update
NVIDIA Windows 2000/XP Display Drivers
OmniPage SE
Outlook Express Update Q330994
Paint Shop Pro 6.0 Evaluation
PC Inspector File Recovery
PictQuizz V 5.1 (c) JNB
PictQuizz V 5.1 (c) JNB (C:\Program Files\PictQuizz\)
PictQuizz V 5.1 (c) JNB (C:\Program Files\PictQuizz\) #3
PictQuizz V 5.1 (c) JNB (C:\Program Files\PictQuizz\) #4
PictQuizzV7 (c) JNB
Ping Pong 3D
Pinnacle Hollywood FX 4.6
Pinnacle Studio AV/DV
Pinnacle Studio DC10plus
Pinnacle Studio LINX
Pinnacle Systems PCI Performance Enhancer
Power IEv3
Quake III Arena
QuickTime
R.C. Cars
Ramdam Classique
RealPlayer
RelevantKnowledge
RM Converter 1.40
Roxio EasyWrite Reader
Shockwave.com Zuma
Sony USB Driver
Spybot - Search & Destroy 1.3
Studio
Studio 8
Symantec Ghost
Symantec Script Blocking Installer
SymNet
TomCat Soft : Le Pendu
Utilitaires Sierra
Viewpoint Media Player (Remove Only)
VirtualDubMOD 1.5.10.1 b2439 Fr
Visionneuse Journal Windows Microsoft
VP3 Codec for Quicktime
VP3 Codec for Video for Windows
WebCam for MSN Messenger
Windows 2000 Service Pack 4
WinRAR archiver
WinZip
Wolfenstein - Enemy Territory
ZoneAlarm
répondre
jean-chretien1 le 06 octobre 2005 à 20h14
désinstalle par ajout/suppression de programmes " Friend pour Internet Explorer "
redémarre ton ordinateur et poste un nouveau rapport HJT
répondre
as2 le 07 octobre 2005 à 20h07
Logfile of HijackThis v1.99.1
Scan saved at 20:06:33, on 07/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\system32\ctfmon.exe
c:\winnt\system32\mrkscr.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\mkls.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.celebritaspoglie.net/all.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.clubic.com/components/Metaboli.ocx
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanGossuin.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604485.exe
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://www.desktoplife.net/generale.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINNT\system32\Weather.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\ngserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

répondre
jean-chretien1 le 07 octobre 2005 à 20h28
salut,

Télécharge LSPfix
http://www.cexx.org/lspfix.htm
Installes le sur le Bureau

Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
Coche la case "I know what I'm doing" ("Je sais ce que je fais").
Sélectionne toutes les instances des dll suivantes

mkls.dll

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".
Clique sur le bouton "Finish".

redémarre l'ordinateur, poste un nouveau rapport.
répondre
Jandj31 le 07 octobre 2005 à 20h47
:hello:

Salut as2, j'ai eu le même soucis essai dont ceci:

http://www.tweakxp.com/article37434.aspx

:bien:

-------
 [img]
répondre
as2 le 09 octobre 2005 à 15h47
ok, j'ai fait ce que tu m'as dit Jean-chretien.
Merci de ta patience au fait et de tes conseils bien sur.

Le mkls je sais pas ce que c, mais j'ai constaté des accés DD trés long, qui je crois sont du à ce pgr ???

En tout cas, avec ce que tu m'as dit, il semblerait qu'il ait disparu ...



Logfile of HijackThis v1.99.1
Scan saved at 15:47:04, on 09/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.celebritaspoglie.net/all.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.clubic.com/components/Metaboli.ocx
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanGossuin.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604485.exe
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://www.desktoplife.net/generale.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6878DE3B-E810-456A-8AF9-B63742E26E7D}: NameServer = 212.151.137.170 212.247.156.66
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINNT\system32\Weather.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\ngserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

répondre
jean-chretien1 le 09 octobre 2005 à 15h48
bonjour,

ok parfait, encore ceci :

Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
Coche la case "I know what I'm doing" ("Je sais ce que je fais").
Sélectionne toutes les instances des dll suivantes

msvrl.dll

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".
Clique sur le bouton "Finish".

redémarre l'ordinateur, poste un nouveau rapport.
Après on s'occupe du reste :)
répondre
as2 le 09 octobre 2005 à 15h58
Comme t'es en ligne...
Je dois te dire que j'ai eu un gros doute avant d'effacer mkls, car quand je l'arretais avant avec un CTRL-ALT-DEL, je ne pouvais plus utilise Explorer.
T'es sur qu'en effacant msvrl çà và pas me bouziller un truc ?
Et si on se parlait sur MSN ou au tel pkoi pas ?
A+
répondre
jean-chretien1 le 09 octobre 2005 à 16h16
il ne faut surtout pas le supprimer directement, mais utiliser lspfix !

regarde ce lien et tu comprendras pourquoi il ne faut pas avoir de remords
http://castlecops.com/lsp-95.html pour ce fichier

Il vaut mieux qu'on continue sur le forum, ça pourra peut etre etre utile à d'autres personnes qui passeraient par là
répondre
as2 le 09 octobre 2005 à 16h23
ok je le fais mais si j'arrive pu à me connecter à internet tu pourras pu m'aider ...
répondre
jean-chretien1 le 09 octobre 2005 à 16h26
on peut regarder autre chose,

ouvre le bloc notes et copie ce qui est en citation :

cd\
cd Program Files
cd fichiers communs
dir > files.txt
notepad files.txt
cd\
cd Program Files
dir > files.txt
notepad files.txt


enregitrer sous : list.bat
type : tous les fichiers
double-clic sur liste.bat
une 1ere fenetre s'ouvre, copie-colle le contenu ici
ferme cette fenetre
copie colle le contenu de la deuxième fenetre à la suite

-------------
répondre
as2 le 09 octobre 2005 à 16h35
Bon déjà j'ai viré comme tu dit msvrl.dll

Logfile of HijackThis v1.99.1
Scan saved at 16:36:38, on 09/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.celebritaspoglie.net/all.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.clubic.com/components/Metaboli.ocx
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanGossuin.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604485.exe
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://www.desktoplife.net/generale.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6878DE3B-E810-456A-8AF9-B63742E26E7D}: NameServer = 212.151.136.242 212.247.156.70
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINNT\system32\Weather.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\ngserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

répondre
jean-chretien1 le 09 octobre 2005 à 16h36
ok. Fais ce que je t'ai demandé à 16:26:45
je reviens d'ici une petite 1/2 heure
répondre
as2 le 09 octobre 2005 à 16h38
manip suivante :

Le volume dans le lecteur C s'appelle Disque local
Le num‚ro de s‚rie du volume est 24BD-BD7E

R‚pertoire de C:\Program Files\Fichiers communs

09/10/2005 16:40 <DIR> .
09/10/2005 16:40 <DIR> ..
17/09/2003 18:13 <DIR> ACD Systems
20/02/2005 23:09 <DIR> Adaptec Shared
11/08/2004 21:51 <DIR> Adobe
06/04/2004 18:05 <DIR> Adobe Systems Shared
15/04/2005 17:04 <DIR> Ahead
04/09/2003 10:44 <DIR> Designer
02/02/2005 14:29 <DIR> fabFORCE
09/10/2005 16:40 0 files.txt
12/05/2004 11:15 <DIR> FotoWire
06/04/2004 18:02 <DIR> InstallShield
16/06/2004 10:50 <DIR> InterVideo
12/05/2004 11:15 <DIR> Logitech
30/03/2004 18:45 <DIR> Macromedia
30/03/2004 18:46 <DIR> Macromedia Shared
19/05/2004 19:51 <DIR> Microsoft Shared
10/02/2003 12:33 <DIR> ODBC
24/09/2004 22:40 <DIR> Real
17/02/2003 20:27 <DIR> ScanSoft Shared
19/05/2004 19:51 <DIR> Services
04/03/2005 15:55 <DIR> Symantec Shared
19/05/2004 19:51 <DIR> System
13/01/2003 19:25 <DIR> Vbox
24/09/2004 22:40 <DIR> xing shared
1 fichier(s) 0 octets
24 R‚p(s) 8ÿ080ÿ199ÿ680 octets libres
répondre
as2 le 09 octobre 2005 à 16h38
2 :

Le volume dans le lecteur C s'appelle Disque local
Le num‚ro de s‚rie du volume est 24BD-BD7E

R‚pertoire de C:\Program Files

09/10/2005 16:40 <DIR> .
09/10/2005 16:40 <DIR> ..
17/09/2003 18:13 <DIR> ACD Systems
25/06/2004 18:27 <DIR> Adaptec
23/08/2004 17:31 <DIR> Adobe
15/04/2005 17:07 <DIR> Ahead
02/05/2005 18:46 <DIR> AIDA32 - Personal System Information
17/02/2003 20:26 <DIR> ArcSoft
03/08/2004 18:52 <DIR> AVIcodec
10/02/2003 12:58 <DIR> AvRack
18/08/2005 18:53 <DIR> BeWAN ADSL V1.9.0.10
03/12/2003 19:51 <DIR> BeWAN ADSL V1.9.0.4
15/05/2004 21:23 <DIR> CamStudio
17/02/2003 20:27 <DIR> Canon
06/10/2004 21:31 <DIR> Cdiscount photos
13/01/2003 19:26 <DIR> Cleaner 5 EZ
10/02/2003 16:23 <DIR> CONEXANT
16/06/2004 10:48 <DIR> Creative
10/02/2003 14:13 <DIR> directx
25/07/2005 21:59 <DIR> DivX
04/03/2004 18:53 <DIR> Dreamweaver
05/05/2004 13:26 <DIR> EasyPHP1-7
14/12/2003 22:31 <DIR> eMule
18/04/2005 10:50 <DIR> EnergyPlugIn
09/06/2004 18:51 <DIR> EuroTool
09/10/2005 16:40 <DIR> Fichiers communs
09/10/2005 16:40 0 files.txt
18/01/2004 21:58 <DIR> FTPExpert
28/04/2003 16:19 <DIR> GlobalSCAPE
12/05/2005 18:43 <DIR> GOTO.games
18/06/2005 20:27 <DIR> GSpot
02/06/2005 15:04 <DIR> HardwareDetection
02/11/2003 16:04 <DIR> Intel
16/06/2005 15:55 <DIR> InterActual
25/10/2004 21:01 <DIR> Internet Explorer
19/06/2004 11:10 <DIR> InterVideo
17/09/2003 21:36 <DIR> Jasc Software Inc
11/07/2005 19:18 <DIR> Java
11/07/2005 19:19 <DIR> Java Web Start
11/11/2003 22:20 <DIR> Kazaa
25/11/2003 19:24 <DIR> Kazaa Lite K++
24/03/2005 15:21 <DIR> Kerio
12/05/2004 11:15 <DIR> Logitech
30/03/2004 18:44 <DIR> Macromedia
12/08/2005 11:38 <DIR> Messenger
10/02/2003 12:43 <DIR> microsoft frontpage
10/02/2003 16:15 <DIR> Microsoft Office
04/09/2003 10:43 <DIR> Microsoft Visual Studio
20/02/2004 11:21 <DIR> Minitel
05/10/2005 23:18 <DIR> mIRC
24/01/2005 19:03 <DIR> Montorgueil
30/09/2005 23:25 <DIR> Mozilla Firefox
11/07/2005 19:35 <DIR> mozilla.org
10/02/2003 17:10 <DIR> MSI
12/08/2005 11:38 <DIR> MSN Messenger
11/02/2005 20:48 <DIR> MSN Toolbar
03/05/2004 21:07 <DIR> NetMeeting
11/07/2005 19:16 <DIR> Netscape
03/08/2005 22:03 <DIR> Norton AntiVirus
19/05/2004 19:51 <DIR> Outlook Express
18/09/2003 17:21 <DIR> Paint Shop Pro
08/10/2005 23:16 <DIR> Paint Shop Pro 6
24/03/2005 19:10 <DIR> Panicware
25/07/2005 16:50 <DIR> PC Inspector File Recovery
02/06/2005 14:39 <DIR> PhotoFiltre
02/03/2005 23:11 <DIR> PictQuizz
03/04/2004 22:03 <DIR> PictQuizzVersion1
18/10/2003 22:09 <DIR> Pinnacle
15/05/2004 10:30 <DIR> PIXELA
25/07/2005 16:39 <DIR> Power IE
04/09/2003 10:44 <DIR> Publication Web
09/05/2004 21:34 1ÿ573 qsetup.html
22/07/2004 19:42 <DIR> QuickTime
05/01/2004 18:35 <DIR> RADVideo
27/10/2003 22:25 <DIR> Real
14/01/2003 11:51 <DIR> Red Storm Entertainment
05/09/2003 12:08 <DIR> RegCleaner
18/05/2003 14:16 <DIR> Return to Castle Wolfenstein
12/04/2004 11:00 <DIR> Rippackv3
22/09/2004 13:55 <DIR> RivalChess
07/02/2004 18:42 <DIR> RM Converter
17/02/2003 20:27 <DIR> ScanSoft
13/01/2003 17:50 <DIR> Setup Files
11/12/2004 18:26 <DIR> Sierra On-Line
22/09/2004 13:56 <DIR> SLD CODEC PACK
28/06/2003 18:07 <DIR> Soldier of Fortune II - Double Helix
15/05/2004 10:28 <DIR> Sony Corporation
06/04/2005 22:41 <DIR> Spybot - Search & Destroy
09/06/2004 09:22 <DIR> Symantec
11/07/2005 19:19 <DIR> Viewpoint
22/10/2004 19:14 <DIR> viewsonic
18/02/2003 20:03 <DIR> VirtualDub
03/08/2004 18:05 <DIR> Webteh
05/11/2004 15:29 <DIR> WinASPI
10/02/2003 14:50 <DIR> Windows Journal Viewer
11/02/2003 19:04 <DIR> Windows Media Components
15/04/2005 17:02 <DIR> Windows Media Player
09/07/2003 09:59 <DIR> Windows NT
29/05/2004 20:00 <DIR> WinMPG Video Convert
14/02/2003 15:46 <DIR> WinRAR
13/06/2004 19:58 <DIR> WinSCP3
21/04/2003 21:41 <DIR> WinZip
14/08/2005 23:19 <DIR> Zone Labs
28/08/2005 00:25 <DIR> Zylom Games
2 fichier(s) 1ÿ573 octets
102 R‚p(s) 8ÿ080ÿ121ÿ856 octets libres
répondre
jean-chretien1 le 09 octobre 2005 à 17h15
je suis en train de préparer ta manip

Ca te sert à quelque chose ça
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINNT\system32\Weather.exe
Ca a l'air lié à notre problème

Vas sur ce site http://virusscan.jotti.org/
Colle dans la case à gauche de parcourir
C:\WINNT\system32\Weather.exe
clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse.
répondre
as2 le 09 octobre 2005 à 17h41
Non, weather.exe me sert à rien, j'ai essayé de cliquer dessus, il a voulu acceder à internet, j'ai dit non, et d'aprés le nom c'est un pgr de météo , donc on peut le virer ...


Service load: 0% 100%

File: Weather.exe_
Status: OK
MD5 533fd5747cc605e92124f888889931c9
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing


Statistics
Last file scanned at least one scanner reported something about: Bypass.exe, detected by:

Scanner Malware name
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV Trojan.Spybot-123
Dr.Web X
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA X
VBA32 X

répondre
as2 le 09 octobre 2005 à 17h45
Sinon, si je puis permettre, mon probleme initial de fond de barre d'outil est réglé depuis longtemps, là je supose qu'on essaye de voir si il y a d'autres merde dans mon PC, ce qui est tout a fait possible vu parfois les bizarreries de fonctionnement...
répondre
jean-chretien1 le 09 octobre 2005 à 17h48
j'ai trouvé un pb assez similaire ici http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/a(...)
Cependant il n'a pas été traité jusqu'au bout.

sinon, en effet on regarde un peu ce qui reste sur ton pc : encore quelques saletés (dialers notament)

---------------------------

Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8) : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/200209051(...)
Tu vas t'en servir tout à l'heure.

1/ Télécharge :

- CCleaner
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Installe-le, laisse-le avec ses réglages par défaut. C'est tout.


*****Copie ce qui suit dans un bloc-notes et quitte internet*****

2/ Désactive le service suivant :
vas dans démarrer, clique sur "exécuter", tapes :
services.msc
"ok"
Dans la liste des services, cherche et double-clique sur la ligne :
Navigation étendue et définition (Connexion dictionnaire)
vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de
"C:\WINNT\system32\Weather.exe"
dans "Type de démarrage",
clique sur "désactiver"
"Appliquer"/"ok"


3/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.celebritaspoglie.net/all.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanGossuin.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604485.exe
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://www.desktoplife.net/generale.exe
O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINNT\system32\Weather.exe

- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

4/ Redémarre en mode sans échec

5/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

6/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\WINNT\system32\Weather.exe <- le fichier

C:\Program Files\Kazaa <- le dossier (pas le lite)
C:\Program Files\Montorgueil <- le dossier

7/ Vide la corbeille.

8/ Lance Ccleaner, "Nettoyeur"/"lancer le nettoyage".

9/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

répondre
as2 le 09 octobre 2005 à 18h37
Ouf, j'ai fait toute la longue manip apparement sans encombre. (j'ai croisé les doigts)

Dans ton message

en 3)

j'ai pas trouvé la ligne 23 de weather mais c sans doute normale puiske je l'ai enlevé dans service

4 ) Le redemarage a été trés long, je crois que j'ai dut laisser le bouton enfoncé pour que le PC s'arrete

9) idem au redemarage aprés les manip dans le mode sans échec ce fut trés lent

là les icones ont changée de place (sans doute a cause de la session sans echec)

là j'ai fermer messenger (j'ai pas essayer de l'utiliser) mais si tu vois + bas le nombre de reference à MSN çà fait peur non ?



Logfile of HijackThis v1.99.1
Scan saved at 18:32:37, on 09/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.clubic.com/components/Metaboli.ocx
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec New Zealand Limited - C:\Program Files\Symantec\Ghost\ngserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe


répondre
jean-chretien1 le 09 octobre 2005 à 18h42
non t'inquiète pas pour les lignes O16. Elles ne sont pas "méchantes".

Bizarre quand même l'histoire du démarrage long. Tu me diras un peu plus tard si ça se reproduit.

Dans l'immédiat, Poste un rapport Panda

http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

après ça, côté virus, on sera tranquilles !
répondre
as2 le 09 octobre 2005 à 19h04
c'est interminable l'analyse panda...
j'ai pas trouvé "tout ordinateur", j'ai choisi Systéme, fallait pas ?
je peux rien faire pendant que çà scan (faut que j'arrete de respire aussi :)
répondre
jean-chretien1 le 09 octobre 2005 à 19h05
je crois que c'est poste de travail quelque chose comme ça

regarde ici http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/s(...)

attends toi à quelque chose de long par contre :) mais il faut aller au bout !
répondre
as2 le 09 octobre 2005 à 19h50

Incident Statut Analyse
Adware:adware/gator No Désinfecté C:\WINNT\DOWNLOADED PROGRAM FILES\HDPlugin1019.dll
Spyware:spyware/cydoor No Désinfecté C:\WINNT\SYSTEM32\cd_clint.dll
Adware:adware/ncase No Désinfecté C:\Documents and Settings\Administrateur\Application Data\ncmyb.dll
Adware:adware/twain-tech No Désinfecté Registre Windows
Dialer:dialer.ok No Désinfecté HKEY_CLASSES_ROOT\Interface\{66BD1BD0-3655-42E4-8CE9-16D3613B0B25}
Dialer:Dialer.OK No Désinfecté C:\Documents and Settings\Administrateur\Bureau\backups\backup-20051009-180903-332.inf
Adware:Adware/MediaTickets No Désinfecté C:\eied_s7.cab[eied_s7_c_70.exe]
Adware:Adware/MediaTickets No Désinfecté C:\eied_s7.cab[eied.inf]
Virus:Trj/Downloader.KD Désinfecté C:\explorer.cab
Dialer:Dialer.XD No Désinfecté C:\ied_s7.cab[ied_s7_c_59.exe]
Adware:Adware/MediaTickets No Désinfecté C:\ied_s7m.cab[ied.exe]
Virus Eventuel. No Désinfecté C:\Program Files\Internet Explorer\huxjtksf.exe
Dialer:Dialer.Gen No Désinfecté C:\WINNT\Downloaded Program Files\CONFLICT.1\all.exe
Adware:Adware/Gator No Désinfecté C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll
Adware:Adware/Gator No Désinfecté C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll
Adware:Adware/Gator No Désinfecté C:\WINNT\Downloaded Program Files\HDPlugin1019.dll
Adware:Adware/Gator No Désinfecté C:\WINNT\Downloaded Program Files\HDPlugin1019.inf
Adware:Adware/Gator No Désinfecté C:\WINNT\Downloaded Program Files\HDPlugin1100.dll
Spyware:Spyware/AdClicker No Désinfecté C:\WINNT\sysdll.reg
Spyware:Spyware/MarketScore No Désinfecté C:\WINNT\system32\brandoss.exe
Virus:W32/Netsky.D.worm Désinfecté Dossiers locaux\lments supprims\Re: Re: Document[your_document.pif]
Virus:W32/Netsky.B.worm Désinfecté [attachment.zip][attachment.htm.pif]
répondre
as2 le 09 octobre 2005 à 19h51
J'arrete pour ce soir...
On en reparle demain ?
répondre
jean-chretien1 le 09 octobre 2005 à 20h48
D'accord, alors voilà ce qui t'attend pour demain,

1/ Démarrer/exécuter, tapes : regedit
Supprime ce qui est en gras :

HKEY_CLASSES_ROOT\Interface\{66BD1BD0-3655-42E4-8CE9-16D3613B0B25}

2/ Télécharge
PocketKillBox
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
Dézippes-le sur ton bureau.

coche la case "Delete on reboot".
Ouvre le bloc-notes et copie-colle dedans ce qui est dans la citation suivante :

C:\WINNT\DOWNLOADED PROGRAM FILES\HDPlugin1019.dll
C:\WINNT\SYSTEM32\cd_clint.dll
C:\Documents and Settings\Administrateur\Application Data\ncmyb.dll
C:\Documents and Settings\Administrateur\Bureau\backups\backup-20051009-180903-332.inf
C:\eied_s7.cab
C:\eied_s7.cab
C:\explorer.cab
C:\ied_s7.cab
C:\ied_s7m.cab
C:\WINNT\Downloaded Program Files\CONFLICT.1\all.exe
C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll
C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll
C:\WINNT\Downloaded Program Files\HDPlugin1019.dll
C:\WINNT\Downloaded Program Files\HDPlugin1019.inf
C:\WINNT\Downloaded Program Files\HDPlugin1100.dll
C:\WINNT\sysdll.reg
C:\Program Files\Internet Explorer\huxjtksf.exe
C:\WINNT\system32\brandoss.exe


Toujours dans ton bloc-notes, tu vas dans édition/sélectionner tout, puis encore dans édition/copier
Sur PocketKillBox-->File-->Paste from Clipboard, tu cliques ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"
(Si tu as des difficultés avec cette manip, regarde cette démo animée, item n°1 http://pageperso.aol.fr/balltrap34/killbox.htm)
L'ordinateur doit redémarrer, sinon, fais le toi-même.

-----------------------------

3/ au redémarrage, supprime :
C:\!Submit <- le dossier

4/ Lance CCleaner.

5/ Télécharge RegSearch
http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézipper dans un répertoire dédié tel que C:\Program Files
- double clique sur RegSearch.exe
- copie colle ceci :
twain-tech
dans la zone de recherche et clique sur OK
- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées
- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- ferme RegSearch par Cancel
- copie-colle le contenu des fenêtres dans un post, ici
- ferme le bloc-notes

A+ tard
répondre
as2 le 10 octobre 2005 à 17h48
Je me suis arrété là :

Sur PocketKillBox-->File-->Paste from Clipboard, tu cliques ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"

Car Norton-Antivus m'a dit que le risque de virus chargé etait important, j'ai donc pas répondu oui à la question de supprimer les fichier du clipboard
répondre
jean-chretien1 le 10 octobre 2005 à 17h50
Bonjour,

Norton-Antivus m'a dit que le risque de virus chargé etait important, j'ai donc pas répondu oui à la question de supprimer les fichier du clipboard


heu... tu peux m'expliquer plus en détails, stp ?
répondre
as2 le 10 octobre 2005 à 17h57
ben, heu, je peux repeter que ce que je viens de dire...
J'ai fait toute la manip jusqu'au copiage du presse-papier dans le pgr killbox, j'ai cliqué sur la croix rouge, là j'ai eu une fenêtre norton-antivirus qui s'est ouverte avec l'avertissement, alerte de virus, risque élévé , nom de l'objet ied_s7_c_59.exe Conteneur c:\!Submit\ied_s7.cab nom de virus Download.trojan l'accés a été refusé... puis j'ai cliqué sur non killbox
répondre
jean-chretien1 le 10 octobre 2005 à 18h00
clique sur oui sur killbox et passe à la suite
si norton t'embete encore, désactive-le.
répondre
as2 le 10 octobre 2005 à 18h16
voilà :

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 10/10/2005 18:16:56 for strings:
; 'twain-tech'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
répondre
page précédente  1 - 2
ou aller à la page
 page suivante


À PROPOS DU FORUM MICRO HEBDO

LES FORUMS THÉMATIQUES ET TECHNIQUES

LES FORUMS GÉNÉRAUX

ARCHIVES DU FORUM

Forum de Micro Hebdo / Windows, Linux, Mac et les autres... / Windows 2000/ page friend.fr pirate mon PC
publicité
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Nous contacter  |  Charte de confiance  |  Voir notice légale

01net.  -  01men  -  RMC  -  BFM Radio  -  BFM TV  -  TousLesPodcasts  -  01informatique.fr  -  Association RMC-BFM
Tous droits réservés © 1999 - 2009 Internext - 01net.