|
|
Auteur
|
Message
|
1
2
|
L'espoir fait vivre?! HappyFas
|
|
|
Bonjour,
Il y a quelques temps (2 semaines), vous m'aviez aidé à me débarrasser d'une clef de registre infectée par Spyware Quaked (d'après Ashampoo anti-spyware, le seul à me l'avoir trouvé). Puis je vous avez signalé qu'il me trouvait une fichier logger, puis vomba,puis un autre truc...enfin, c'était jamais la même chose (http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/spyware_quake_trace_trouvee_dans_le_registre_par_ashampoo-415337/messages-1.html)
Vendredi (après avoir fait quelques surfs avec IE, sinon je suis toujours sur FFirefox), en faisant un banal petit contrôle avec Ashampoo de mon registre, je découvre à nouveau des noms bizarres en dernière clef: exemple:
Et aujourd'hui (j'avais pas rallumé l'ordi du week-end), le nom de la dernière clef avait changé.
J'vais dans regedit chercher les clefs indiquées mais je trouve pas. Alors je fais, toujours dans regedit, rechercher> "zomba" et là, ça m'a indiqué ce dossier (argh!!!!) qui comme vous voyez est bien remplit de mer**!!!!(et encore,la liste est très très longue!!!) J'ai notamment vu au passage un sous-dossier "winantivirus.com". 
J'avais fait une recherche avec SmithFraudFix vendredi, mais il n'avait rien trouvé.
Que dire de plus? J'ai fait un nettoyage avec Ccleaner en espérant que ça enlève quelques trucs (mais je ne savais pas encore qu'ils étaient dans ce dossier), ça n'a rien fait. Jfais aussi des analyses avec AVG AntiSpyware,A2free,Ashampoo AntiSpyware, Spybot, Ad-aware, Kaspersky...sans succès.
Pouvez-vous m'aider s'il vous plait? Merci par avance! 
-->Message édité par magnifica le 01/04/2007 18:41:19<--
|
|
L'espoir fait vivre?! HappyFas
|
|
|
|
|
Bonsoir magnifica,
Télécharge HijackThis que tu placeras dans un répertoire dédié tel C:\Program Files\HijackThis.
Double-clique sur HijackThis.exe pour lancer l'outil.
Ferme toutes les applications en cours sauf HijackThis.
Clique sur le bouton Do a system scan and save a logfile.
Un rapport sera généré puis le Bloc-notes l'affichera.
Dans le Bloc-notes, clique en haut sur le menu Edition puis choisis Sélectionner tout.
Dans le Bloc-notes, clique en haut sur le menu Edition puis choisis Copier.
Dans ta future réponse, colle le rapport de HijackThis.
A suivre,
En cas de difficulté, voir le tutorial d'HijackThis sur le site de Malekal_Morte
|
|
L'espoir fait vivre?! HappyFas
|
|
|
Bonsoir Anthony 
voici le rapport (J'ai laissé Kaspersky, Zone Alarm, Ashampoo AntiSpyware (le garde) et la page avec tes instructions d'ouverts) Merci!
Logfile of HijackThis v1.99.1
Scan saved at 22:22:08, on 01/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis\Hijackthis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ashampoo AntiSpyWare Taskplaner] "C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe" -TRAY
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/wi(...)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2ED9BC2B-4DF1-472E-9B5E-55477D2C97F5} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://carythanis.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascinstie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb(...)
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371180.(...)
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7461D7F3-0C67-4DC3-A0F7-2CD4D2E1E6BB}: NameServer = 194.117.200.10,194.117.200.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
|
|
L'espoir fait vivre?! HappyFas
|
|
|
|
up pleaz
|
|
L'espoir fait vivre?! HappyFas
|
|
|
help! jsais pas si c'est lié, mais à présent, j'ai la souris qui se met à glisser toute seule(de la droite vers la gauche)!!!!ça vient à l'instant de me le faire pendant à peu près 30secondes, c'est....assez flippant! 
|
|
|
|
|
Bonsoir magnifica,
Télécharge Silent Runners sur ton Bureau.
Double-clique sur SilentRunners.vbs pour lancer le script.
A la fenêtre de demande de recherches supplémentaires, clique sur Oui.
Un rapport sera généré sur ton Bureau nommé Startup Programs.txt
Dans ta future réponse, envoie ce rapport.
A suivre,
|
|
L'espoir fait vivre?! HappyFas
|
|
|
Bonsoir Anthony!
voilà ce que tu m'as demandé:
"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"msnmsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"Ashampoo AntiSpyWare Taskplaner" = ""C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe" -TRAY" [null data]
"eMuleAutoStart" = "C:\Program Files\eMule\emule.exe -AutoStart" ["http://www.emule-project.net"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Recguard" = "C:\WINDOWS\SMINST\RECGUARD.EXE" [empty string]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"Zone Labs Client" = ""C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"AVP" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"]
"KBD" = "C:\HP\KBD\KBD.EXE" ["Hewlett-Packard Company"]
"Ashampoo AntiSpyWare Guard" = "C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe" [null data]
HKLM\Software\Microsoft\Active Setup\Installed Components\
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub"
\StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS]
{8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS]
{94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider"
\StubPath = "rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\program files\google\googletoolbar4.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "c:\Program Files\Sonic RecordNow!\shlext.dll" [null data]
"{7F67036B-66F1-411A-AD85-759FB9C5B0DB}" = "SampleView"
-> {HKLM...CLSID} = "SampleView"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellvRTF.dll" ["XSS"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Mes dossiers de partage"
\InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Context Menu Shell Extension"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]
|
|
|
|
|
Re-bonsoir,
Le rapport n'est pas entier, je te prie de le renvoyer.
Anthony.
|
|
L'espoir fait vivre?! HappyFas
|
|
|
Heu...
je viens d'en faire un deuxième, et comme il n'est pas pareil, je le poste:
"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"msnmsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"Ashampoo AntiSpyWare Taskplaner" = ""C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe" -TRAY" [null data]
"eMuleAutoStart" = "C:\Program Files\eMule\emule.exe -AutoStart" ["http://www.emule-project.net"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Recguard" = "C:\WINDOWS\SMINST\RECGUARD.EXE" [empty string]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"Zone Labs Client" = ""C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"AVP" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"]
"KBD" = "C:\HP\KBD\KBD.EXE" ["Hewlett-Packard Company"]
"Ashampoo AntiSpyWare Guard" = "C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe" [null data]
HKLM\Software\Microsoft\Active Setup\Installed Components\
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub"
\StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS]
{8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS]
{94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider"
\StubPath = "rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\program files\google\googletoolbar4.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
|
|
|
|
|
Re-bonsoir,
Fais un scan en ligne Kaspersky avec Internet Explorer :
Dans la nouvelle fenêtre, clique sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail
Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
|
|
L'espoir fait vivre?! HappyFas
|
|
L'espoir fait vivre?! HappyFas
|
|
L'espoir fait vivre?! HappyFas
|
|
|
|
up pleaz
|
|
|
|
|
Bonsoir magnifica,
Télécharge ComboFix.exe (par sUBs) sur ton Bureau
Double clique ComboFix.exe et suis les invites.
Lorsque le scan sera fini, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse.
|
|
L'espoir fait vivre?! HappyFas
|
|
|
Bonjour Anthony,
J'ai fait ce que tu m'as dit, mais ça a été un total échec:
>Non seulement le rapport Combofix ne s'effectue pas (j'ai essayé plusieurs fois) car il marque que ya un truc qui a une chaine trop longue, puis qu'il manque un fichier
>Mais en plus, à chaque fois que j'ai lancé Combofix, Kaspersky AV, après m'avoir plusieurs fois prévenu par défense proactive rouge (que j'ai fini par placer dans la zone de confiance) d'un danger présenté par l'installation d'un pilote dans le système par Combofix, se désactivait, et il fallait que je ferme Combofix pour pouvoir réactiver la protection de mon AV
>Enfin, depuis l'utilisation de Combofix, j'ai de nombreuses "erreur explorer"
|
|
|
|
|
Bonjour,
Télécharge et installe AVG Anti-Spyware 7.5
Lance AVG Anti-Spyware.
Clique sur l'onglet "Mise à jour".
Sous Mise à jour manuelle, clique sur Commencer la mise à jour.
Si besoin, sous Paramètres, insères les identifiants de ton proxy.
Attends la fin de la mise à jour et ferme AVG Anti-Spyware.
Redémarre ton PC en mode sans échec.
Dans le menu Démarrer, clique sur Arrêter l'ordinateur et clique sur Redémarrer.
Au début du redémarrage, tapote la touche F8 de ton clavier jusqu'à ce que les Options Avancés de Windows apparraissent.
Choisis le mode sans échec et appuis sur Enter.
Choisis ton compte usuel.
Lance AVG Anti-Spyware.
Clique sur l"Analyse".
Clique sur l'onglet "Paramètres".
Sous "Comment réagir ?", clique sur Actions recommandées et choisis Quarantaine.
Sous "Comment faire l'analyse", vérifie que toutes la cases soient cochées (Si ce n'est pas le cas, coche-les).
Sous "Programmes potentiellement dangereux", vérifie que toutes les cases soient cochées (Si ce n'est pas le cas, coche-les).
Sous "Rapports", vérifie que Générer un rapport après chaque analyse soit coché (Si ce n'est pas le cas, coche-le).
Clique sur l'onglet "Analyser" et clique sur Analyse complète du système.
A la fin de l'analyse, clique sur Appliquer toutes les infections.
Par la suite, clique sur Enregistrer le rapport et clique sur Enregistrer le rapport sous.
Ferme AVG Anti-Spyware.
Redémarre en mode normal.
Dans ta future réponse, envoie le rapport de AVG Anti-Spyware situé sur C:\Program Files\GrisoftAVG Anti Spyware 7.5\Reports
A suivre,
|
|
L'espoir fait vivre?! HappyFas
|
|
|
re
g déjà agv antispyware
il ne détecte rien
v le fr en mode sans échec alors
-->Message édité par magnifica le 04/04/2007 20:00:43<--
|
|
L'espoir fait vivre?! HappyFas
|
|
|
heu g un soucis là! regarde , jveu ouvrir le bloc note dan le menu démarré mais c'est un fichier intitulé "lisez moi" présent dans system32 et qui concerne l'éditeur de sims...
De plus en plus zarbi 
|
|
L'espoir fait vivre?! HappyFas
|
|
L'espoir fait vivre?! HappyFas
|
|
|
|
kikou,up plz
|
|
L'espoir fait vivre?! HappyFas
|
|
|
|
up plz merci
|
|
L'espoir fait vivre?! HappyFas
|
|
|
|
heu...coucou?
|
|
|
|
|
Bonsoir magnifica,
Clique sur Démarrer / Exécuter.
Tape notepad
Que s'ouvre ?
Anthony.
|
|
L'espoir fait vivre?! HappyFas
|
|
|
Bonjour Anthony,
Comme je l'ai marqué, le lien que donnait les propriétés du fichier "lisez-moi" étaient:
C:\WINDOWS\system32\Notepad.exe "C:\Program Files\Maxis\Les Sims\..\The Sims Creator\Readme\Lisezmoi.txt"
En fait, j'ai résoud ce pb en enlevant le "C:\Program Files\Maxis\Les Sims\..\The Sims Creator\Readme\Lisezmoi.txt" et en renommant le fichier "Bloc Note". Dès lors, tout est redevenu normal de ce côté là. 
Mais en tout cas j'ai toujours mes dossiers avec des bribes de spywares non-détectés comme je l'ai marqué dans le 1er post de ce sujet.... 
Aurore
|
|
L'espoir fait vivre?! HappyFas
|
|
|
|
up
|
|
|
|
|
Bonjour magnifica,
Télécharge RogueRemover (de RubbeR DuckY) sur ton Bureau.
Crée un dossier RogueRemover à la racine de C:\ :
- Dans l'explorateur, rends-toi sur C:\
- Dans le menu déroulant Fichier, clique sur Nouveau puis choisis Dossier.
- Appelle-le RogueRemover
- Dézippe RogueRemover à l'intérieur de ce dossier.
- Tu dois obtenir un fichier RogueRemover.exe avec deux autres fichiers.
Double-clique sur RogueRemover.exe.
Clique sur Scan.
A la fin du scan, clique sur Save log files.
Le rapport sera sauvegardé dans le dossier de RogueRemover.
Envoie ce rapport dans ta prochaine réponse.
A suivre,
|
|
L'espoir fait vivre?! HappyFas
|
|
|
Bonsoir Anthony
J'ai fait le scan ça n'a rien donné,et g pa eu le moyen de sauver le rapport (qui était niquel de toutes façons). Pourtant, ces dossiers existent et la clef zomba existe belle et bien 
|
|
|
|
|
Bonsoir magnifica,
Télécharge ComboFix.exe (par sUBs) sur ton Bureau
Double clique ComboFix.exe et suis les invites.
Lorsque le scan sera fini, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse.
|
|
L'espoir fait vivre?! HappyFas
|
|
|
Bonsoir Anthony
Tu m'as déja fait faire dette manip et ça n'a pas marché! ça affole mon antivirus (kaspersky) et ça fait tout planter. De plus, je soupçonne ComboFix d'être à l'origine de la présentation anglophone de la date de mon antivirus (qui a changé de forme, maintenant -depuis l'utilisation de Combofix- c'est année/mois/jour)
|
|
L'espoir fait vivre?! HappyFas
|
|
|
Bonjour,
C'est bien COMBOFIX qui m'a chamboulé la datation sur mon ordinateur. J'ai dû faire deux restaurations pour que tout revienne à la normale.
|
|
|
|
