http://eblocs.com/spyblocs/adv /admed_008.html

http://eblocs.com/spyblocs/adv /admed_008.html - Sécurité - Windows & Software

Marsh Posté le 04-01-2005 à 16:09:25    

Salut à tous
 
J'ai un popup qui s'ouvre toutes les 5 min à peu près sur l'adresse  
http://www.ad-W-A-R-E.com/
redirigée vers  
http://eblocs.com/spyblocs/adv/admed_008.html
 
Y'a aussi (je ne sais pas si c'est lié) :
http://www.loadingwebsite.com/normal/yyy17.html
redirigée vers
http://mediabuy-nic.cjt1.net/...
 
 
 
J'ai essayé de le virer avec Ad-aware, HijackThis, SpyBotS&D, Spywareblaster, mais rien à faire. :fou:
 
Qq'un a une idée ??
 
Merci d'avance


Message édité par carl_hungus le 21-01-2005 à 12:39:01
Reply

Marsh Posté le 04-01-2005 à 16:09:25   

Reply

Marsh Posté le 06-01-2005 à 15:35:56    

Salut,  
J'ai exactement le meme probleme et si tu regarde bien tu verras qu'il poste a www.ad-a-w-a-r-e.com toutes les recherches que tu fais sur google par exemple..
Bon si quelqu'un trouve  un progrramme quil l'élimine ce spy .. je suis preneur.. envoyez un ti MP..  :-D
 
Enjoy  
 
Julesi

Reply

Marsh Posté le 07-01-2005 à 08:51:47    

Salut,
 
Voila j'ai essayé Norton 2005, The Cleaner, le scan en ligne de Secuser et rien a faire j'ai le meme probleme :(

Reply

Marsh Posté le 07-01-2005 à 11:59:58    

J'ai aussi essayé Spyware Eliminator qui est pas mauvais du tout, il arrive même a supprimer le spy (ad-a-w-a-r-e et bcp d'autre! ).
Mais un fois redemarré il est de retour (j'ai essayé de desactiver la restauration de windows et redemarrrer  mais rien a faire ).
Je pense que temporairement je vais aller faire pointer www.ad-w-a-r-e.com vers 127.0.0.1

Reply

Marsh Posté le 07-01-2005 à 12:19:04    

Tiens voila ce que je viens de trouver dans mon fichier hosts
(C:\WINDOWS\system32\drivers\etc\hosts a ouvrir avec notepad : )
 
 
127.0.0.1       localhost
127.0.0.1  www.igetnet.com
127.0.0.1  code.ignphrases.com
127.0.0.1  clear-search.com
127.0.0.1  r1.clrsch.com
127.0.0.1  sds.clrsch.com
127.0.0.1  status.clrsch.com
127.0.0.1  www.clrsch.com
127.0.0.1  clr-sch.com
127.0.0.1  sds-qckads.com
127.0.0.1  status.qckads.com
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy
69.20.16.183  auto.search.msn.com
69.20.16.183  search.netscape.com
69.20.16.183  ieautosearch
69.20.16.183  ieautosearch
69.20.16.183  ieautosearch
 
 
seul 127.0.0.1   localhost nous est utile!
 
Il faut aussi supprimer ces enfoirés de fichier de backup appelé hostsxxxxxx.backup !!
car sinon il replaque toutes ces adresses de merde!
Quoiqu'il arrive encore a les relplacer .. help!!!
 
Tout ca a été gracieusement inséré par monsieur le spy!


Message édité par mikof1 le 07-01-2005 à 12:25:34
Reply

Marsh Posté le 16-01-2005 à 16:30:27    

j'ai exactement le même problème et c'est très chiant!
Quelqu'un a-t-il trouvé la soluce?
Please help!

Reply

Marsh Posté le 19-01-2005 à 18:09:03    

je relance le sujet puisque j'ai moi aussi herité de ce spyware

Reply

Marsh Posté le 20-01-2005 à 11:57:53    

slt,
essayez spy sweeper,install,maj, scan.
activer toutes les protections temps réel le temps de virer les spy, ceux qui utilisent msn pourrons virer la protection appropriée.
Spy sweeper incorpore un protection du fichier host en temps réel.

Reply

Marsh Posté le 21-01-2005 à 11:09:43    

bonjour,
 
en regardant dans le registre j'ai trouvé cette fameuse adresse ad-w-a-r-e.com dans le dossier filelist de download accelerator, avec ce fichier telechargé : A0004048.exe, j'ai tout supprimé mais le probleme persiste, c tout de meme une piste ?
 

Reply

Marsh Posté le 26-01-2005 à 12:49:11    

Salut à tous, j'ai exactement les mêmes problemes que carl_hungus malgré l'utilisation de Spybot, Adware SE, Spyblaster ou Anti-Spy de microsoft, Hijacktis......bref ras le bol.
Quelqu'un a une solution m'évitant de formater mon disque ?
Merci

Reply

Marsh Posté le 26-01-2005 à 12:49:11   

Reply

Marsh Posté le 30-01-2005 à 16:24:57    

salut a tous  
j'ai le meme probleme que vous IGENNET.COM
j'ai trouvé ça je ne sais pas si ça peut vous aider http://www.doxdesk.com/parasite/IGetNet.html
ya la méthode manuelle pour enlever ce spyware
j'ai essayé de le faire et j'ai supprimé les fichiers mais le problème c'est sur le fichier :
C:\WINDOWS\system32\drivers\etc\hosts
 
je n'arrive pas a supprimé les lignes :
127.0.0.1  www.igetnet.com
127.0.0.1  code.ignphrases.com
127.0.0.1  clear-search.com
127.0.0.1  r1.clrsch.com
127.0.0.1  sds.clrsch.com
127.0.0.1  status.clrsch.com
127.0.0.1  www.clrsch.com
127.0.0.1  clr-sch.com
127.0.0.1  sds-qckads.com
127.0.0.1  status.qckads.com
69.20.16.183  auto.search.msn.com
69.20.16.183  search.netscape.com
69.20.16.183  ieautosearch
 
si quelqu'un pourait me dire s'il ya un moyen de modifier ce fichier
 
Merci d'avance

Reply

Marsh Posté le 30-01-2005 à 16:40:01    

tu n'arrives pas à les supprimer? comment ça? tu ouvres le fichier, tu les sélectionnes et tu peux pas faire 'supprimer'? ou alors tu les vires mais ça revient quand même?


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 30-01-2005 à 17:07:22    

je parie que ça revient ;)


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 07-02-2005 à 20:48:23    

com21 l'a deviné effectivement a chaque fois que je supprime ces lignes et le rouvre le fichier ils reviennent
j'ai meme demarrer en mode sans echec et la lorsque je les supprime (efface) et je rouvre le fichier je ne les trouve pas mais apres le redémarrage du PC ils reviennent :-(

Reply

Marsh Posté le 07-02-2005 à 20:50:42    

et si tu les effaces et que tu mets le fichier en "read-only"? :D
 
balance un rapport hijackThis qu'on regarde ce qui tourne et qui remet ces lignes


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 07-02-2005 à 20:51:41    

Télécharger "HijackThis" sur:
 
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
 
 

Reply

Marsh Posté le 07-02-2005 à 20:58:31    

Logfile of HijackThis v1.99.0
Scan saved at 20:59:10, on 07/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\myCIO\VScan\McShield.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\myCIO\Agent\myagttry.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\_Download\spyware\HijackThis.exe
 
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [myCIO.com ASaP] C:\WINDOWS\myCIO\Agent\myagttry.exe
O4 - HKLM\..\Run: [myCIO.com Splash] C:\WINDOWS\myCIO\VScan\Splash.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscanasap.mondsi.com/VS2/bin/myCioAgt.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5CE7A7AF-8C5E-48CF-AE30-8FC6F01C27E3} - http://us.dl1.yimg.com/download.ya [...] r1_3fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\WINDOWS\myCIO\Agent\myRmProt2.8.1.135.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: McShield - Network Associates, Inc. - C:\WINDOWS\myCIO\VScan\McShield.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: McAfee Agent - Unknown - C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

Reply

Marsh Posté le 07-02-2005 à 20:59:35    

O1 - Hosts: 69.20.16.183 auto.search.msn.com  
O1 - Hosts: 69.20.16.183 search.netscape.com  
O1 - Hosts: 69.20.16.183 ieautosearch  
O1 - Hosts: 69.20.16.183 ieautosearch  
 
ces lignes reviennent aussi apres un fix-cheked

Reply

Marsh Posté le 07-02-2005 à 21:12:23    

Tu ne pourras pas les supprimer comme ça.
 
Fais ceci :
 
Télécharge cet  outil.
-Pose-le sur ton bureau
-Dézippe-le
-Double-clique l2mfix.bat et choisis l'option 1 (tape 1 et entrée)
-Lorsqu'il a terminé sa recherche, il ouvre un rapport dans le bloc-notes.
-Copie/colle ce rapport ici.
 
Important : ne clique aucun autre fichier ni options !!!


Message édité par acrobaze le 07-02-2005 à 21:38:52
Reply

Marsh Posté le 07-02-2005 à 21:26:33    

L2MFIX find log 1.02a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"Asynchronous"=dword:00000000
"DllName"=""
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\m6lslg3716.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
 
**********************************************************************************
useragent:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{CCCFE24E-B65B-478A-B399-D43662DCB3B4}"=""
 
**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}"="LDVP Shell Extensions"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{59850401-6664-101B-B21C-00AA004BA90B}"="Microsoft Office Binder Unbind"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{F8D369A9-CD73-48E2-9300-ED0F4924D429}"="WnkFile Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{32A9D769-5B55-4a25-9A62-86B5683FE50A}"="NikonView Drop Extension"
"{5a61f7a0-cde1-11cf-9113-00aa00425c62}"="IIS Shell Extension"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}"=""
"{9107E830-222B-44F8-91E4-7A9235BD5C82}"=""
 
**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00
 
[HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}]
@=""
 
[HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}\Implemented Categories]
@=""
 
[HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
 
[HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}\InprocServer32]
@="C:\\WINDOWS\\system32\\np4_disp.dll"
"ThreadingModel"="Apartment"
 
Windows Registry Editor Version 5.00
 
[HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}]
@=""
 
[HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}\Implemented Categories]
@=""
 
[HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
 
[HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}\InprocServer32]
@="C:\\WINDOWS\\system32\\mytlsapi.dll"
"ThreadingModel"="Apartment"
 
**********************************************************************************
Files Found are not all bad files:
 
C:\WINDOWS\SYSTEM32\
   aklsp.dll      Sat 15 Jan 2005  22:39:38   A....        196 608   192,00 K
   c000la~1.dll   Wed 19 Jan 2005  15:18:26   ..S.R        225 083   219,80 K
   cgedui.dll     Thu 27 Jan 2005  20:06:16   ..S.R        225 083   219,80 K
   d00mla~1.dll   Thu  3 Feb 2005   9:07:00   ..S.R        225 990   220,69 K
   ddserver.dll   Sat 29 Jan 2005  19:36:38   A....        225 083   219,80 K
   e220lc~1.dll   Mon  7 Feb 2005   8:27:12   ..S.R        226 293   220,99 K
   enlul1~1.dll   Thu  3 Feb 2005  14:32:26   ..S.R        225 083   219,80 K
   f82m0i~1.dll   Sun 30 Jan 2005  15:24:46   ..S.R        225 211   219,93 K
   fnj021~1.dll   Sun  6 Feb 2005  18:44:16   ..S.R        223 213   217,98 K
   hr4005~1.dll   Sat 29 Jan 2005  19:46:46   ..S.R        225 128   219,85 K
   hypertrm.dll   Wed 17 Nov 2004  18:42:34   A....        354 304   346,00 K
   i4060e~1.dll   Wed 19 Jan 2005  15:38:50   ..S.R        225 083   219,80 K
   j02qla~1.dll   Sat 29 Jan 2005  19:36:38   ..S.R        222 968   217,74 K
   kdp7057.dll    Mon 27 Dec 2004  21:37:00   A....        225 280   220,00 K
   lv0809~1.dll   Sat 29 Jan 2005  19:40:54   ..S.R        225 892   220,60 K
   lv2q09~1.dll   Sun 16 Jan 2005  18:50:52   ..S.R        223 232   218,00 K
   lv6o09~1.dll   Thu  3 Feb 2005  14:40:16   ..S.R        225 083   219,80 K
   lvjs09~1.dll   Sat 29 Jan 2005  19:42:34   ..S.R        225 802   220,51 K
   lvpq09~1.dll   Fri  4 Feb 2005  19:01:36   ..S.R        225 083   219,80 K
   m6lslg~1.dll   Sun  6 Feb 2005  21:06:00   ..S.R        223 076   217,85 K
   mosystem.dll   Sat 29 Jan 2005  19:38:42   A....        225 083   219,80 K
   muhgrcoi.dll   Sat 29 Jan 2005  19:53:02   A....        225 083   219,80 K
   mytlsapi.dll   Sat 29 Jan 2005  19:46:46   A....        225 083   219,80 K
   n4n60e~1.dll   Sat  5 Feb 2005  12:42:50   ..S.R        225 083   219,80 K
   np4_disp.dll   Mon  7 Feb 2005  14:30:50   ..S.R        223 076   217,85 K
   o066la~1.dll   Thu 27 Jan 2005  23:08:24   ..S.R        225 083   219,80 K
   p4r40e~1.dll   Fri 28 Jan 2005  19:57:02   ..S.R        225 577   220,29 K
   ptcrt.dll      Sat 29 Jan 2005  19:54:50   A....        225 083   219,80 K
   r08s0a~1.dll   Sat 29 Jan 2005  19:38:42   ..S.R        225 863   220,57 K
   sfg_7709.dll   Mon 27 Dec 2004  21:45:44   A....        225 280   220,00 K
   sxncui.dll     Sat 29 Jan 2005  19:55:54   A....        225 083   219,80 K
   tzpisrv.dll    Sat 29 Jan 2005  19:56:00   A....        225 083   219,80 K
   u4rule~1.dll   Fri 28 Jan 2005  20:00:02   ..S.R        225 083   219,80 K
   ulbmon.dll     Sat 29 Jan 2005  19:56:14   A....        225 083   219,80 K
 
34 items found:  34 files (22 H/S), 0 directories.
   Total of file sizes:  7 749 204 bytes      7,39 M
Locate .tmp files:
 
No matches found.
**********************************************************************************
Directory Listing of system files:
 Le volume dans le lecteur C s'appelle hakim
 Le num‚ro de s‚rie du volume est 64E0-165E
 
 R‚pertoire de C:\WINDOWS\System32
 
07/02/2005  14:30           223ÿ076 np4_disp.dll
07/02/2005  08:27           226ÿ293 e220lcfm1f2a.dll
06/02/2005  21:05           223ÿ076 m6lslg3716.dll
06/02/2005  18:44           223ÿ213 fnj0211mg.dll
05/02/2005  12:42           225ÿ083 n4n60e5seh.dll
04/02/2005  19:01           225ÿ083 lvpq0975e.dll
03/02/2005  14:40           225ÿ083 lv6o09j3e.dll
03/02/2005  14:32           225ÿ083 enlul1391.dll
03/02/2005  09:06           225ÿ990 d00mlad11d0.dll
30/01/2005  15:24           225ÿ211 f82m0if1e82.dll
29/01/2005  19:46           225ÿ128 hr4005hme.dll
29/01/2005  19:42           225ÿ802 lvjs0917e.dll
29/01/2005  19:40           225ÿ892 lv0809due.dll
29/01/2005  19:38           225ÿ863 r08s0al7edq.dll
29/01/2005  19:36           222ÿ968 j02qlaf51d2.dll
28/01/2005  20:00           225ÿ083 u4rule991h.dll
28/01/2005  19:57           225ÿ577 p4r40e9qeh.dll
27/01/2005  23:08           225ÿ083 o066lajs1do6.dll
27/01/2005  20:06           225ÿ083 cgedui.dll
19/01/2005  15:38           225ÿ083 i4060edseh060.dll
19/01/2005  15:18           225ÿ083 c000ladm1d0a.dll
16/01/2005  18:50           223ÿ232 lv2q09f5e.dll
09/12/2004  20:20    <REP>          dllcache
08/11/2003  21:52    <REP>          Microsoft
              22 fichier(s)        4ÿ947ÿ068 octets
               2 R‚p(s)   2ÿ130ÿ232ÿ832 octets libres

Reply

Marsh Posté le 07-02-2005 à 21:38:09    


Bon, c'est bien ça, tu as une infection Vx2.
 
Ferme tes travaux en cours car il va y avoir un reboot.
 
Maintenant,, tu reprends l2mfix.bat, tu choisis l'option 2 (+entrée)
et n'importe quelle touche pour le reboot.
 
Il va travailler. Et pareil, ensuite, délivrer un log.  
Copie/colle ce log ici, avec un nouvel HijackThis.

Reply

Marsh Posté le 07-02-2005 à 21:54:03    

L2Mfix 1.02a
 
Running From:
C:\Documents and Settings\kim\Bureau\l2mfix
 
 
 
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
 
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW  Read         BUILTIN\Utilisateurs
(ID-IO) ALLOW  Read         BUILTIN\Utilisateurs
(ID-NI) ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(ID-IO) ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(ID-NI) ALLOW  Full access  BUILTIN\Administrateurs
(ID-IO) ALLOW  Full access  BUILTIN\Administrateurs
(ID-NI) ALLOW  Full access  AUTORITE NT\SYSTEM
(ID-IO) ALLOW  Full access  AUTORITE NT\SYSTEM
(ID-IO) ALLOW  Full access  CREATEUR PROPRIETAIRE
 
 
 
Setting registry permissions:
 
 
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
 
 
Denying C access for really "Everyone"
 - adding new ACCESS DENY entry
 
 
Registry Permissions set too:
 
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
 
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI)    DENY   --C-------    Tout le monde
(ID-NI) ALLOW  Read         BUILTIN\Utilisateurs
(ID-IO) ALLOW  Read         BUILTIN\Utilisateurs
(ID-NI) ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(ID-IO) ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(ID-NI) ALLOW  Full access  BUILTIN\Administrateurs
(ID-IO) ALLOW  Full access  BUILTIN\Administrateurs
(ID-NI) ALLOW  Full access  AUTORITE NT\SYSTEM
(ID-IO) ALLOW  Full access  AUTORITE NT\SYSTEM
(ID-IO) ALLOW  Full access  CREATEUR PROPRIETAIRE
 
 
 
Setting up for Reboot
 
 
Starting Reboot!
 
C:\Documents and Settings\kim\Bureau\l2mfix  
System Rebooted!  
 
Running From:
C:\Documents and Settings\kim\Bureau\l2mfix
 
killing explorer and rundll32.exe  
 
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1360 'explorer.exe'
Killing PID 1360 'explorer.exe'
Killing PID 1360 'explorer.exe'
Killing PID 1360 'explorer.exe'
Killing PID 1360 'explorer.exe'
 
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1684 'rundll32.exe'
 
Scanning First Pass. Please Wait!
 
First Pass Completed  
 
Second Pass Scanning  
 
Second pass Completed!
Backing Up: C:\WINDOWS\system32\c000ladm1d0a.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\cgedui.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\cql3dv2.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\d00mlad11d0.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\ddserver.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\e220lcfm1f2a.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\enlul1391.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\f82m0if1e82.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\fnj0211mg.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\hr4005hme.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\i4060edseh060.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\j02qlaf51d2.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\lv0809due.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\lv2q09f5e.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\lv6o09j3e.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\lvjs0917e.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\lvpq0975e.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\mosystem.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\muhgrcoi.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\mytlsapi.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\n4n60e5seh.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\np4_disp.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\o066lajs1do6.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\p4r40e9qeh.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\ptcrt.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\r08s0al7edq.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\sxncui.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\tZpisrv.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\u4rule991h.dll
        1 fichier(s) copi‚(s).
Backing Up: C:\WINDOWS\system32\ulbmon.dll
        1 fichier(s) copi‚(s).
deleting: C:\WINDOWS\system32\c000ladm1d0a.dll  
Successfully Deleted: C:\WINDOWS\system32\c000ladm1d0a.dll
deleting: C:\WINDOWS\system32\cgedui.dll  
Successfully Deleted: C:\WINDOWS\system32\cgedui.dll
deleting: C:\WINDOWS\system32\cql3dv2.dll  
Successfully Deleted: C:\WINDOWS\system32\cql3dv2.dll
deleting: C:\WINDOWS\system32\d00mlad11d0.dll  
Successfully Deleted: C:\WINDOWS\system32\d00mlad11d0.dll
deleting: C:\WINDOWS\system32\ddserver.dll  
Successfully Deleted: C:\WINDOWS\system32\ddserver.dll
deleting: C:\WINDOWS\system32\e220lcfm1f2a.dll  
Successfully Deleted: C:\WINDOWS\system32\e220lcfm1f2a.dll
deleting: C:\WINDOWS\system32\enlul1391.dll  
Successfully Deleted: C:\WINDOWS\system32\enlul1391.dll
deleting: C:\WINDOWS\system32\f82m0if1e82.dll  
Successfully Deleted: C:\WINDOWS\system32\f82m0if1e82.dll
deleting: C:\WINDOWS\system32\fnj0211mg.dll  
Successfully Deleted: C:\WINDOWS\system32\fnj0211mg.dll
deleting: C:\WINDOWS\system32\hr4005hme.dll  
Successfully Deleted: C:\WINDOWS\system32\hr4005hme.dll
deleting: C:\WINDOWS\system32\i4060edseh060.dll  
Successfully Deleted: C:\WINDOWS\system32\i4060edseh060.dll
deleting: C:\WINDOWS\system32\j02qlaf51d2.dll  
Successfully Deleted: C:\WINDOWS\system32\j02qlaf51d2.dll
deleting: C:\WINDOWS\system32\lv0809due.dll  
Successfully Deleted: C:\WINDOWS\system32\lv0809due.dll
deleting: C:\WINDOWS\system32\lv2q09f5e.dll  
Successfully Deleted: C:\WINDOWS\system32\lv2q09f5e.dll
deleting: C:\WINDOWS\system32\lv6o09j3e.dll  
Successfully Deleted: C:\WINDOWS\system32\lv6o09j3e.dll
deleting: C:\WINDOWS\system32\lvjs0917e.dll  
Successfully Deleted: C:\WINDOWS\system32\lvjs0917e.dll
deleting: C:\WINDOWS\system32\lvpq0975e.dll  
Successfully Deleted: C:\WINDOWS\system32\lvpq0975e.dll
deleting: C:\WINDOWS\system32\mosystem.dll  
Successfully Deleted: C:\WINDOWS\system32\mosystem.dll
deleting: C:\WINDOWS\system32\muhgrcoi.dll  
Successfully Deleted: C:\WINDOWS\system32\muhgrcoi.dll
deleting: C:\WINDOWS\system32\mytlsapi.dll  
Successfully Deleted: C:\WINDOWS\system32\mytlsapi.dll
deleting: C:\WINDOWS\system32\n4n60e5seh.dll  
Successfully Deleted: C:\WINDOWS\system32\n4n60e5seh.dll
deleting: C:\WINDOWS\system32\np4_disp.dll  
Successfully Deleted: C:\WINDOWS\system32\np4_disp.dll
deleting: C:\WINDOWS\system32\o066lajs1do6.dll  
Successfully Deleted: C:\WINDOWS\system32\o066lajs1do6.dll
deleting: C:\WINDOWS\system32\p4r40e9qeh.dll  
Successfully Deleted: C:\WINDOWS\system32\p4r40e9qeh.dll
deleting: C:\WINDOWS\system32\ptcrt.dll  
Successfully Deleted: C:\WINDOWS\system32\ptcrt.dll
deleting: C:\WINDOWS\system32\r08s0al7edq.dll  
Successfully Deleted: C:\WINDOWS\system32\r08s0al7edq.dll
deleting: C:\WINDOWS\system32\sxncui.dll  
Successfully Deleted: C:\WINDOWS\system32\sxncui.dll
deleting: C:\WINDOWS\system32\tZpisrv.dll  
Successfully Deleted: C:\WINDOWS\system32\tZpisrv.dll
deleting: C:\WINDOWS\system32\u4rule991h.dll  
Successfully Deleted: C:\WINDOWS\system32\u4rule991h.dll
deleting: C:\WINDOWS\system32\ulbmon.dll  
Successfully Deleted: C:\WINDOWS\system32\ulbmon.dll
 
Desktop.ini sucessfully removed
 
Zipping up files for submission:
  adding: c000ladm1d0a.dll (164 bytes security) (deflated 4%)
  adding: cgedui.dll (164 bytes security) (deflated 4%)
  adding: cql3dv2.dll (164 bytes security) (deflated 3%)
  adding: d00mlad11d0.dll (164 bytes security) (deflated 5%)
  adding: ddserver.dll (164 bytes security) (deflated 4%)
  adding: e220lcfm1f2a.dll (164 bytes security) (deflated 5%)
  adding: enlul1391.dll (164 bytes security) (deflated 4%)
  adding: f82m0if1e82.dll (164 bytes security) (deflated 4%)
  adding: fnj0211mg.dll (164 bytes security) (deflated 3%)
  adding: hr4005hme.dll (164 bytes security) (deflated 4%)
  adding: i4060edseh060.dll (164 bytes security) (deflated 4%)
  adding: j02qlaf51d2.dll (164 bytes security) (deflated 3%)
  adding: lv0809due.dll (164 bytes security) (deflated 5%)
  adding: lv2q09f5e.dll (164 bytes security) (deflated 3%)
  adding: lv6o09j3e.dll (164 bytes security) (deflated 4%)
  adding: lvjs0917e.dll (164 bytes security) (deflated 5%)
  adding: lvpq0975e.dll (164 bytes security) (deflated 4%)
  adding: mosystem.dll (164 bytes security) (deflated 4%)
  adding: muhgrcoi.dll (164 bytes security) (deflated 4%)
  adding: mytlsapi.dll (164 bytes security) (deflated 4%)
  adding: n4n60e5seh.dll (164 bytes security) (deflated 4%)
  adding: np4_disp.dll (164 bytes security) (deflated 3%)
  adding: o066lajs1do6.dll (164 bytes security) (deflated 4%)
  adding: p4r40e9qeh.dll (164 bytes security) (deflated 4%)
  adding: ptcrt.dll (164 bytes security) (deflated 4%)
  adding: r08s0al7edq.dll (164 bytes security) (deflated 5%)
  adding: sxncui.dll (164 bytes security) (deflated 4%)
  adding: tZpisrv.dll (164 bytes security) (deflated 4%)
  adding: u4rule991h.dll (164 bytes security) (deflated 4%)
  adding: ulbmon.dll (164 bytes security) (deflated 4%)
  adding: clear.reg (164 bytes security) (deflated 37%)
  adding: echo.reg (164 bytes security) (deflated 8%)
  adding: desktop.ini (164 bytes security) (deflated 13%)
  adding: direct.txt (164 bytes security) (stored 0%)
  adding: lo2.txt (164 bytes security) (deflated 84%)
  adding: readme.txt (164 bytes security) (deflated 49%)
  adding: report.txt (164 bytes security) (deflated 63%)
  adding: test.txt (164 bytes security) (deflated 80%)
  adding: test2.txt (164 bytes security) (deflated 17%)
  adding: test3.txt (164 bytes security) (deflated 17%)
  adding: test5.txt (164 bytes security) (deflated 17%)
  adding: xfind.txt (164 bytes security) (deflated 75%)
  adding: backregs/7A07AB32-2110-4CAA-AD8C-4494B982ECC3.reg (164 bytes security) (deflated 70%)
  adding: backregs/9107E830-222B-44F8-91E4-7A9235BD5C82.reg (164 bytes security) (deflated 70%)
  adding: backregs/shell.reg (164 bytes security) (deflated 74%)
 
Restoring Registry Permissions:  
 
 
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
 
 
Revoking access for really "Everyone"
 
 
Registry permissions set too:
 
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
 
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW  Read         BUILTIN\Utilisateurs
(ID-IO) ALLOW  Read         BUILTIN\Utilisateurs
(ID-NI) ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(ID-IO) ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(ID-NI) ALLOW  Full access  BUILTIN\Administrateurs
(ID-IO) ALLOW  Full access  BUILTIN\Administrateurs
(ID-NI) ALLOW  Full access  AUTORITE NT\SYSTEM
(ID-IO) ALLOW  Full access  AUTORITE NT\SYSTEM
(ID-IO) ALLOW  Full access  CREATEUR PROPRIETAIRE
 
 
Restoring Sedebugprivilege:
 
 Granting SeDebugPrivilege to Administrators   ... failed (GetAccountSid(Administrators)=1332  
 
deleting local copy: c000ladm1d0a.dll    
deleting local copy: cgedui.dll    
deleting local copy: cql3dv2.dll    
deleting local copy: d00mlad11d0.dll    
deleting local copy: ddserver.dll    
deleting local copy: e220lcfm1f2a.dll    
deleting local copy: enlul1391.dll    
deleting local copy: f82m0if1e82.dll    
deleting local copy: fnj0211mg.dll    
deleting local copy: hr4005hme.dll    
deleting local copy: i4060edseh060.dll    
deleting local copy: j02qlaf51d2.dll    
deleting local copy: lv0809due.dll    
deleting local copy: lv2q09f5e.dll    
deleting local copy: lv6o09j3e.dll    
deleting local copy: lvjs0917e.dll    
deleting local copy: lvpq0975e.dll    
deleting local copy: mosystem.dll    
deleting local copy: muhgrcoi.dll    
deleting local copy: mytlsapi.dll    
deleting local copy: n4n60e5seh.dll    
deleting local copy: np4_disp.dll    
deleting local copy: o066lajs1do6.dll    
deleting local copy: p4r40e9qeh.dll    
deleting local copy: ptcrt.dll    
deleting local copy: r08s0al7edq.dll    
deleting local copy: sxncui.dll    
deleting local copy: tZpisrv.dll    
deleting local copy: u4rule991h.dll    
deleting local copy: ulbmon.dll    
 
The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"Asynchronous"=dword:00000000
"DllName"=""
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
 
 
The following are the files found:  
****************************************************************************
C:\WINDOWS\system32\c000ladm1d0a.dll  
C:\WINDOWS\system32\cgedui.dll  
C:\WINDOWS\system32\cql3dv2.dll  
C:\WINDOWS\system32\d00mlad11d0.dll  
C:\WINDOWS\system32\ddserver.dll  
C:\WINDOWS\system32\e220lcfm1f2a.dll  
C:\WINDOWS\system32\enlul1391.dll  
C:\WINDOWS\system32\f82m0if1e82.dll  
C:\WINDOWS\system32\fnj0211mg.dll  
C:\WINDOWS\system32\hr4005hme.dll  
C:\WINDOWS\system32\i4060edseh060.dll  
C:\WINDOWS\system32\j02qlaf51d2.dll  
C:\WINDOWS\system32\lv0809due.dll  
C:\WINDOWS\system32\lv2q09f5e.dll  
C:\WINDOWS\system32\lv6o09j3e.dll  
C:\WINDOWS\system32\lvjs0917e.dll  
C:\WINDOWS\system32\lvpq0975e.dll  
C:\WINDOWS\system32\mosystem.dll  
C:\WINDOWS\system32\muhgrcoi.dll  
C:\WINDOWS\system32\mytlsapi.dll  
C:\WINDOWS\system32\n4n60e5seh.dll  
C:\WINDOWS\system32\np4_disp.dll  
C:\WINDOWS\system32\o066lajs1do6.dll  
C:\WINDOWS\system32\p4r40e9qeh.dll  
C:\WINDOWS\system32\ptcrt.dll  
C:\WINDOWS\system32\r08s0al7edq.dll  
C:\WINDOWS\system32\sxncui.dll  
C:\WINDOWS\system32\tZpisrv.dll  
C:\WINDOWS\system32\u4rule991h.dll  
C:\WINDOWS\system32\ulbmon.dll  
 
Registry Entries that were Deleted:  
Please verify that the listing looks ok.  
If there was something deleted wrongly there are backups in the backreg folder.  
****************************************************************************
REGEDIT4
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}"=-
"{9107E830-222B-44F8-91E4-7A9235BD5C82}"=-
[-HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}]
[-HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}]
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{CCCFE24E-B65B-478A-B399-D43662DCB3B4}"=-
"SV1"=""
****************************************************************************
Desktop.ini Contents:  
****************************************************************************
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
<IDone>{CCCFE24E-B65B-478A-B399-D43662DCB3B4}</IDone>
<IDtwo>VT01</IDtwo>
<VERSION>200</VERSION>
****************************************************************************


Reply

Marsh Posté le 07-02-2005 à 21:55:07    

Logfile of HijackThis v1.99.0
Scan saved at 21:56:02, on 07/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\myCIO\Agent\myagttry.exe
C:\WINDOWS\myCIO\VScan\McShield.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\_Download\spyware\HijackThis.exe
 
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [myCIO.com ASaP] C:\WINDOWS\myCIO\Agent\myagttry.exe
O4 - HKLM\..\Run: [myCIO.com Splash] C:\WINDOWS\myCIO\VScan\Splash.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscanasap.mondsi.com/VS2/bin/myCioAgt.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5CE7A7AF-8C5E-48CF-AE30-8FC6F01C27E3} - http://us.dl1.yimg.com/download.ya [...] r1_3fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\WINDOWS\myCIO\Agent\myRmProt2.8.1.135.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: McShield - Network Associates, Inc. - C:\WINDOWS\myCIO\VScan\McShield.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: McAfee Agent - Unknown - C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

Reply

Marsh Posté le 07-02-2005 à 21:57:01    

Ok. Lance HijackThis, coche ces lignes :
 
O1 - Hosts: 69.20.16.183 auto.search.msn.com  
O1 - Hosts: 69.20.16.183 search.netscape.com  
O1 - Hosts: 69.20.16.183 ieautosearch  
O1 - Hosts: 69.20.16.183 ieautosearch  
O1 - Hosts: 69.20.16.183 ieautosearch  
 
Clique "Fix checked".
 
Reboot.
 
Poste un dernier log.

Reply

Marsh Posté le 07-02-2005 à 22:04:42    

Logfile of HijackThis v1.99.0
Scan saved at 22:04:46, on 07/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\myCIO\Agent\myagttry.exe
C:\WINDOWS\myCIO\VScan\McShield.exe
C:\WINDOWS\system32\wuauclt.exe
C:\_Download\spyware\HijackThis.exe
 
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [myCIO.com ASaP] C:\WINDOWS\myCIO\Agent\myagttry.exe
O4 - HKLM\..\Run: [myCIO.com Splash] C:\WINDOWS\myCIO\VScan\Splash.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscanasap.mondsi.com/VS2/bin/myCioAgt.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5CE7A7AF-8C5E-48CF-AE30-8FC6F01C27E3} - http://us.dl1.yimg.com/download.ya [...] r1_3fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\WINDOWS\myCIO\Agent\myRmProt2.8.1.135.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: McShield - Network Associates, Inc. - C:\WINDOWS\myCIO\VScan\McShield.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: McAfee Agent - Unknown - C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

Reply

Marsh Posté le 07-02-2005 à 22:07:02    

dans le fichier hosts ces lignes existent toujours  
 
127.0.0.1  www.igetnet.com
127.0.0.1  code.ignphrases.com
127.0.0.1  clear-search.com
127.0.0.1  r1.clrsch.com
127.0.0.1  sds.clrsch.com
127.0.0.1  status.clrsch.com
127.0.0.1  www.clrsch.com
127.0.0.1  clr-sch.com
127.0.0.1  sds-qckads.com
127.0.0.1  status.qckads.com

Reply

Marsh Posté le 07-02-2005 à 22:15:34    


Yep! Voilà comment faire sauter ces parasites!
 
===========
 
Pour le fichier hosts voici le début du mien:
 

Citation :

# This MVPS HOSTS file is a free download from:           #
# http://www.mvps.org/winhelp2002/                        #
#                                                         #
# Notes: the browser does not read this "#" symbol        #
# You can create your own notes, after the # symbol       #
# This *must* be the first line: 127.0.0.1     localhost  #
# ********************************************************#
# ------------------Updated: 12-24-04---------------------#
# ********************************************************#
# Entries marked with Parasite or Trojan comments should  #
# be placed in the Internet Explorer Restricted Zone.     #
# http://mvps.org/winhelp2002/restricted.htm              #
#                                                         #
# Entries with other comments are searchable via Google.  #
#                                                         #
# Disclaimer: this file is free to use, however it is NOT #
# permitted to post on any other site without permission. #
 
127.0.0.1  localhost
 
#start of lines added by WinHelp2002
# [Misc Add-ons][A - Z]
127.0.0.1  abcsearch.com
127.0.0.1  admin.abcsearch.com
127.0.0.1  www3.abcsearch.com #[Browseraid]
127.0.0.1  www.abcsearch.com
127.0.0.1  abc517.net #[Trojan.Mitglieder.H]
127.0.0.1  absoluagency.com #[Trojan.StartPage.H]
127.0.0.1  acestats.com
127.0.0.1  www.acestats.com
127.0.0.1  www.activesearch.com #[Adware.ActiveSearch]
127.0.0.1  actualnames.com #[Parasite.ActualNames][Spyware.ActualNames]
127.0.0.1  www.actualnames.com
127.0.0.1  ad-up.com
127.0.0.1  www.ad-up.com
127.0.0.1  adatom.com
127.0.0.1  aesp.adatom.com
127.0.0.1  adbest.com
127.0.0.1  www.adcipta.net #[W32/Malware]
127.0.0.1  adserv.adbonus.com
127.0.0.1  www.adbonus.com
127.0.0.1  media.adcentriconline.com
127.0.0.1  ad2.adcept.net
127.0.0.1  ad3.adcept.net
127.0.0.1  www.adcept.net
127.0.0.1  adcomplete.com
127.0.0.1  www.adcomplete.com
127.0.0.1  www.adcopy.info
127.0.0.1  ads.adcorps.com
127.0.0.1  ads.addynamix.com
127.0.0.1  pt.server1.adexit.com


 
Le retour à 127.0.0.1 justement te protège.

Reply

Marsh Posté le 07-02-2005 à 22:16:11    

c bon je les ai effacés et la ça revient plus  

Reply

Marsh Posté le 07-02-2005 à 22:19:09    

génial mon le PC a l'air de tourner mieux la.
je te remercie enormement Acrobaze ça fait 1 mois que ça dure et j'ai failli formater mais grace a toi a remarche a merveille
merci encore

Reply

Marsh Posté le 07-02-2005 à 22:19:15    


Ton log est tout à fait clean, maintenant.

Reply

Marsh Posté le 07-02-2005 à 22:19:52    


Ok! A+! :hello:

Reply

Marsh Posté le 07-02-2005 à 22:20:49    

oui a+ et Merci encore  
 
bonne soirée

Reply

Marsh Posté le 13-02-2005 à 17:59:06    

ca me parait bien compliqué,installer un anti pop-up ne suffit pas ?

Reply

Marsh Posté le 13-02-2005 à 20:22:58    

sourion a écrit :

ca me parait bien compliqué,installer un anti pop-up ne suffit pas ?


 
Non. Là, ce n'est pas un popup...c'est un trojan.

Reply

Marsh Posté le 12-03-2005 à 12:13:33    

acrobaze a écrit :

Non. Là, ce n'est pas un popup...c'est un trojan.


 
Pfff, plein le c.. de ce trojan, j'ai pas tout compris comment faire pour l'enlever, je suis pas assez pro. Apparement on peut l enlever mais y aurait il une bonne âme pour expliquer plus clairement comment faire pour gicler ce trojan?? Merci...

Reply

Marsh Posté le 12-03-2005 à 22:23:38    

indica74 a écrit :

Pfff, plein le c.. de ce trojan, j'ai pas tout compris comment faire pour l'enlever, je suis pas assez pro. Apparement on peut l enlever mais y aurait il une bonne âme pour expliquer plus clairement comment faire pour gicler ce trojan?? Merci...


 
Poste un log HijackThis, pour voir.

Reply

Marsh Posté le 14-03-2005 à 12:20:42    

Logfile of HijackThis v1.91.2
Scan saved at 12:18:21, on 14.03.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file)
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [Narrator] C:\WINDOWS\System32\iwwowi.exe
O4 - HKLM\..\RunServices: [Microsoft-Update Services] svchosts.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [Microsoft-Update Services] svchosts.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: MemTurbo.lnk = C:\Program Files\MemTurbo\MemTurbo.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Orite.lnk = C:\Program Files\Intercom\LiveSuite\Orite.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Search (HKLM)
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Search (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\aklsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\aklsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\aklsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\dolsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\dolsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\dolsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\dolsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\aklsp.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4307313133
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPai [...] nstall.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub [...] wflash.cab
 
Et voilà, j'éspère que tu pourras m'aider, merci....

Reply

Marsh Posté le 14-03-2005 à 18:42:19    

Il est multi-infecté cet ordi. Espére que ce n'est pas "Bube".
 
Télécharge LspFix:
http://www.spychecker.com/download [...] spfix.html  
 
- Coche "I know what I'm doing"
- Fais passer de gauche à droite tous les aklsp.dll et dolsp.dll  
- Clique "Finish"
- Redémarre.
 
Poste un nouveau log ENTIER.

Reply

Marsh Posté le 15-03-2005 à 12:33:00    

Pas très rejouissant cette multi-infection. Mais j'ai suivi tes conseils et fait le necessaire avec Lspfix. Voilà mon log....  
 
 
 
Logfile of HijackThis v1.91.2
Scan saved at 12:28:00, on 15.03.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [sgniuly] c:\windows\system32\sgniuly.exe
O4 - HKLM\..\RunServices: [Microsoft-Update Services] svchosts.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [Microsoft-Update Services] svchosts.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: MemTurbo.lnk = C:\Program Files\MemTurbo\MemTurbo.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Orite.lnk = C:\Program Files\Intercom\LiveSuite\Orite.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Search (HKLM)
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Search (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4307313133
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPai [...] nstall.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub [...] wflash.cab

Reply

Marsh Posté le 15-03-2005 à 18:44:09    

Non, ce n'est pas très réjouissant...et très embêtant à enlever.
 
 
R3 - Default URLSearchHook is missing  
O1 - Hosts: 69.20.16.183 auto.search.msn.com  
O1 - Hosts: 69.20.16.183 search.netscape.com  
O1 - Hosts: 69.20.16.183 ieautosearch  
 
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll  
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe  
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe  
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe  
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe  
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe  
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE  
O4 - HKLM\..\Run: [sgniuly] c:\windows\system32\sgniuly.exe  
O4 - HKLM\..\RunServices: [Microsoft-Update Services] svchosts.exe  
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winupdate.exe  
O4 - HKCU\..\Run: [Microsoft-Update Services] svchosts.exe  
O4 - HKCU\..\Run: [Win32 USB2 Driver] winupdate.exe  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
C:\WINDOWS\System32\wsxsvc<-le dossier
C:\WINDOWS\isrvs\ <-le dossier
C:\WINDOWS\farmmext.exe
C:\PROGRA~1\VBouncer <-dossier
c:\windows\system32\sgniuly.exe
 
avec "rechercher" :
svchosts.exe <- attention! avec un "s" final!
winupdate.exe
 
Vide la corbeille. Redémarre en mode normal et poste un nouveau log.
Il me faut absolument un log ENTIER. Après "Scan", clique "Save log", enregistre le log et c'est lui que tu copies/colles ici.
 

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed