http://eblocs.com/spyblocs/adv /admed_008.html - Sécurité - Windows & Software
Marsh Posté le 06-01-2005 à 15:35:56
Salut,
J'ai exactement le meme probleme et si tu regarde bien tu verras qu'il poste a www.ad-a-w-a-r-e.com toutes les recherches que tu fais sur google par exemple..
Bon si quelqu'un trouve un progrramme quil l'élimine ce spy .. je suis preneur.. envoyez un ti MP.. :-D
Enjoy
Julesi
Marsh Posté le 07-01-2005 à 08:51:47
Salut,
Voila j'ai essayé Norton 2005, The Cleaner, le scan en ligne de Secuser et rien a faire j'ai le meme probleme
Marsh Posté le 07-01-2005 à 11:59:58
J'ai aussi essayé Spyware Eliminator qui est pas mauvais du tout, il arrive même a supprimer le spy (ad-a-w-a-r-e et bcp d'autre! ).
Mais un fois redemarré il est de retour (j'ai essayé de desactiver la restauration de windows et redemarrrer mais rien a faire ).
Je pense que temporairement je vais aller faire pointer www.ad-w-a-r-e.com vers 127.0.0.1
Marsh Posté le 07-01-2005 à 12:19:04
Tiens voila ce que je viens de trouver dans mon fichier hosts
(C:\WINDOWS\system32\drivers\etc\hosts a ouvrir avec notepad : )
127.0.0.1 localhost
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch
69.20.16.183 ieautosearch
69.20.16.183 ieautosearch
seul 127.0.0.1 localhost nous est utile!
Il faut aussi supprimer ces enfoirés de fichier de backup appelé hostsxxxxxx.backup !!
car sinon il replaque toutes ces adresses de merde!
Quoiqu'il arrive encore a les relplacer .. help!!!
Tout ca a été gracieusement inséré par monsieur le spy!
Marsh Posté le 16-01-2005 à 16:30:27
j'ai exactement le même problème et c'est très chiant!
Quelqu'un a-t-il trouvé la soluce?
Please help!
Marsh Posté le 19-01-2005 à 18:09:03
je relance le sujet puisque j'ai moi aussi herité de ce spyware
Marsh Posté le 20-01-2005 à 11:57:53
slt,
essayez spy sweeper,install,maj, scan.
activer toutes les protections temps réel le temps de virer les spy, ceux qui utilisent msn pourrons virer la protection appropriée.
Spy sweeper incorpore un protection du fichier host en temps réel.
Marsh Posté le 21-01-2005 à 11:09:43
bonjour,
en regardant dans le registre j'ai trouvé cette fameuse adresse ad-w-a-r-e.com dans le dossier filelist de download accelerator, avec ce fichier telechargé : A0004048.exe, j'ai tout supprimé mais le probleme persiste, c tout de meme une piste ?
Marsh Posté le 26-01-2005 à 12:49:11
Salut à tous, j'ai exactement les mêmes problemes que carl_hungus malgré l'utilisation de Spybot, Adware SE, Spyblaster ou Anti-Spy de microsoft, Hijacktis......bref ras le bol.
Quelqu'un a une solution m'évitant de formater mon disque ?
Merci
Marsh Posté le 30-01-2005 à 16:24:57
salut a tous
j'ai le meme probleme que vous IGENNET.COM
j'ai trouvé ça je ne sais pas si ça peut vous aider http://www.doxdesk.com/parasite/IGetNet.html
ya la méthode manuelle pour enlever ce spyware
j'ai essayé de le faire et j'ai supprimé les fichiers mais le problème c'est sur le fichier :
C:\WINDOWS\system32\drivers\etc\hosts
je n'arrive pas a supprimé les lignes :
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch
si quelqu'un pourait me dire s'il ya un moyen de modifier ce fichier
Merci d'avance
Marsh Posté le 30-01-2005 à 16:40:01
tu n'arrives pas à les supprimer? comment ça? tu ouvres le fichier, tu les sélectionnes et tu peux pas faire 'supprimer'? ou alors tu les vires mais ça revient quand même?
Marsh Posté le 30-01-2005 à 17:07:22
je parie que ça revient
Marsh Posté le 07-02-2005 à 20:48:23
com21 l'a deviné effectivement a chaque fois que je supprime ces lignes et le rouvre le fichier ils reviennent
j'ai meme demarrer en mode sans echec et la lorsque je les supprime (efface) et je rouvre le fichier je ne les trouve pas mais apres le redémarrage du PC ils reviennent :-(
Marsh Posté le 07-02-2005 à 20:50:42
et si tu les effaces et que tu mets le fichier en "read-only"?
balance un rapport hijackThis qu'on regarde ce qui tourne et qui remet ces lignes
Marsh Posté le 07-02-2005 à 20:51:41
Télécharger "HijackThis" sur:
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
Marsh Posté le 07-02-2005 à 20:58:31
Logfile of HijackThis v1.99.0
Scan saved at 20:59:10, on 07/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\myCIO\VScan\McShield.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\myCIO\Agent\myagttry.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\_Download\spyware\HijackThis.exe
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [myCIO.com ASaP] C:\WINDOWS\myCIO\Agent\myagttry.exe
O4 - HKLM\..\Run: [myCIO.com Splash] C:\WINDOWS\myCIO\VScan\Splash.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscanasap.mondsi.com/VS2/bin/myCioAgt.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5CE7A7AF-8C5E-48CF-AE30-8FC6F01C27E3} - http://us.dl1.yimg.com/download.ya [...] r1_3fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\WINDOWS\myCIO\Agent\myRmProt2.8.1.135.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: McShield - Network Associates, Inc. - C:\WINDOWS\myCIO\VScan\McShield.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: McAfee Agent - Unknown - C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Marsh Posté le 07-02-2005 à 20:59:35
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
ces lignes reviennent aussi apres un fix-cheked
Marsh Posté le 07-02-2005 à 21:12:23
Tu ne pourras pas les supprimer comme ça.
Fais ceci :
Télécharge cet outil.
-Pose-le sur ton bureau
-Dézippe-le
-Double-clique l2mfix.bat et choisis l'option 1 (tape 1 et entrée)
-Lorsqu'il a terminé sa recherche, il ouvre un rapport dans le bloc-notes.
-Copie/colle ce rapport ici.
Important : ne clique aucun autre fichier ni options !!!
Marsh Posté le 07-02-2005 à 21:26:33
L2MFIX find log 1.02a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"Asynchronous"=dword:00000000
"DllName"=""
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\m6lslg3716.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
**********************************************************************************
useragent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{CCCFE24E-B65B-478A-B399-D43662DCB3B4}"=""
**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de proprits du fichier multimdia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de scurit NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des proprits de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de scurit DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donnes endommages de l'environnement"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets rseau de Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension icne HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de scurit des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions rseau"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions rseau"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interprteur de commandes pour l'environnement d'excution de scripts Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donnes Microsoft"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tches planifies"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tches et menu Dmarrer"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Excuter..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier lectronique"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du tlchargement"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet intgr de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Bote d'entre de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalise MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Paramtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de dmarrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="numrateur d'applications installes"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de rsum (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chane"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chane"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}"="LDVP Shell Extensions"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{59850401-6664-101B-B21C-00AA004BA90B}"="Microsoft Office Binder Unbind"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{F8D369A9-CD73-48E2-9300-ED0F4924D429}"="WnkFile Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{32A9D769-5B55-4a25-9A62-86B5683FE50A}"="NikonView Drop Extension"
"{5a61f7a0-cde1-11cf-9113-00aa00425c62}"="IIS Shell Extension"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}"=""
"{9107E830-222B-44F8-91E4-7A9235BD5C82}"=""
**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}\InprocServer32]
@="C:\\WINDOWS\\system32\\np4_disp.dll"
"ThreadingModel"="Apartment"
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}\InprocServer32]
@="C:\\WINDOWS\\system32\\mytlsapi.dll"
"ThreadingModel"="Apartment"
**********************************************************************************
Files Found are not all bad files:
C:\WINDOWS\SYSTEM32\
aklsp.dll Sat 15 Jan 2005 22:39:38 A.... 196 608 192,00 K
c000la~1.dll Wed 19 Jan 2005 15:18:26 ..S.R 225 083 219,80 K
cgedui.dll Thu 27 Jan 2005 20:06:16 ..S.R 225 083 219,80 K
d00mla~1.dll Thu 3 Feb 2005 9:07:00 ..S.R 225 990 220,69 K
ddserver.dll Sat 29 Jan 2005 19:36:38 A.... 225 083 219,80 K
e220lc~1.dll Mon 7 Feb 2005 8:27:12 ..S.R 226 293 220,99 K
enlul1~1.dll Thu 3 Feb 2005 14:32:26 ..S.R 225 083 219,80 K
f82m0i~1.dll Sun 30 Jan 2005 15:24:46 ..S.R 225 211 219,93 K
fnj021~1.dll Sun 6 Feb 2005 18:44:16 ..S.R 223 213 217,98 K
hr4005~1.dll Sat 29 Jan 2005 19:46:46 ..S.R 225 128 219,85 K
hypertrm.dll Wed 17 Nov 2004 18:42:34 A.... 354 304 346,00 K
i4060e~1.dll Wed 19 Jan 2005 15:38:50 ..S.R 225 083 219,80 K
j02qla~1.dll Sat 29 Jan 2005 19:36:38 ..S.R 222 968 217,74 K
kdp7057.dll Mon 27 Dec 2004 21:37:00 A.... 225 280 220,00 K
lv0809~1.dll Sat 29 Jan 2005 19:40:54 ..S.R 225 892 220,60 K
lv2q09~1.dll Sun 16 Jan 2005 18:50:52 ..S.R 223 232 218,00 K
lv6o09~1.dll Thu 3 Feb 2005 14:40:16 ..S.R 225 083 219,80 K
lvjs09~1.dll Sat 29 Jan 2005 19:42:34 ..S.R 225 802 220,51 K
lvpq09~1.dll Fri 4 Feb 2005 19:01:36 ..S.R 225 083 219,80 K
m6lslg~1.dll Sun 6 Feb 2005 21:06:00 ..S.R 223 076 217,85 K
mosystem.dll Sat 29 Jan 2005 19:38:42 A.... 225 083 219,80 K
muhgrcoi.dll Sat 29 Jan 2005 19:53:02 A.... 225 083 219,80 K
mytlsapi.dll Sat 29 Jan 2005 19:46:46 A.... 225 083 219,80 K
n4n60e~1.dll Sat 5 Feb 2005 12:42:50 ..S.R 225 083 219,80 K
np4_disp.dll Mon 7 Feb 2005 14:30:50 ..S.R 223 076 217,85 K
o066la~1.dll Thu 27 Jan 2005 23:08:24 ..S.R 225 083 219,80 K
p4r40e~1.dll Fri 28 Jan 2005 19:57:02 ..S.R 225 577 220,29 K
ptcrt.dll Sat 29 Jan 2005 19:54:50 A.... 225 083 219,80 K
r08s0a~1.dll Sat 29 Jan 2005 19:38:42 ..S.R 225 863 220,57 K
sfg_7709.dll Mon 27 Dec 2004 21:45:44 A.... 225 280 220,00 K
sxncui.dll Sat 29 Jan 2005 19:55:54 A.... 225 083 219,80 K
tzpisrv.dll Sat 29 Jan 2005 19:56:00 A.... 225 083 219,80 K
u4rule~1.dll Fri 28 Jan 2005 20:00:02 ..S.R 225 083 219,80 K
ulbmon.dll Sat 29 Jan 2005 19:56:14 A.... 225 083 219,80 K
34 items found: 34 files (22 H/S), 0 directories.
Total of file sizes: 7 749 204 bytes 7,39 M
Locate .tmp files:
No matches found.
**********************************************************************************
Directory Listing of system files:
Le volume dans le lecteur C s'appelle hakim
Le numro de srie du volume est 64E0-165E
Rpertoire de C:\WINDOWS\System32
07/02/2005 14:30 223ÿ076 np4_disp.dll
07/02/2005 08:27 226ÿ293 e220lcfm1f2a.dll
06/02/2005 21:05 223ÿ076 m6lslg3716.dll
06/02/2005 18:44 223ÿ213 fnj0211mg.dll
05/02/2005 12:42 225ÿ083 n4n60e5seh.dll
04/02/2005 19:01 225ÿ083 lvpq0975e.dll
03/02/2005 14:40 225ÿ083 lv6o09j3e.dll
03/02/2005 14:32 225ÿ083 enlul1391.dll
03/02/2005 09:06 225ÿ990 d00mlad11d0.dll
30/01/2005 15:24 225ÿ211 f82m0if1e82.dll
29/01/2005 19:46 225ÿ128 hr4005hme.dll
29/01/2005 19:42 225ÿ802 lvjs0917e.dll
29/01/2005 19:40 225ÿ892 lv0809due.dll
29/01/2005 19:38 225ÿ863 r08s0al7edq.dll
29/01/2005 19:36 222ÿ968 j02qlaf51d2.dll
28/01/2005 20:00 225ÿ083 u4rule991h.dll
28/01/2005 19:57 225ÿ577 p4r40e9qeh.dll
27/01/2005 23:08 225ÿ083 o066lajs1do6.dll
27/01/2005 20:06 225ÿ083 cgedui.dll
19/01/2005 15:38 225ÿ083 i4060edseh060.dll
19/01/2005 15:18 225ÿ083 c000ladm1d0a.dll
16/01/2005 18:50 223ÿ232 lv2q09f5e.dll
09/12/2004 20:20 <REP> dllcache
08/11/2003 21:52 <REP> Microsoft
22 fichier(s) 4ÿ947ÿ068 octets
2 Rp(s) 2ÿ130ÿ232ÿ832 octets libres
Marsh Posté le 07-02-2005 à 21:38:09
Bon, c'est bien ça, tu as une infection Vx2.
Ferme tes travaux en cours car il va y avoir un reboot.
Maintenant,, tu reprends l2mfix.bat, tu choisis l'option 2 (+entrée)
et n'importe quelle touche pour le reboot.
Il va travailler. Et pareil, ensuite, délivrer un log.
Copie/colle ce log ici, avec un nouvel HijackThis.
Marsh Posté le 07-02-2005 à 21:54:03
L2Mfix 1.02a
Running From:
C:\Documents and Settings\kim\Bureau\l2mfix
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Setting registry permissions:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Denying C access for really "Everyone"
- adding new ACCESS DENY entry
Registry Permissions set too:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI) DENY --C------- Tout le monde
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Setting up for Reboot
Starting Reboot!
C:\Documents and Settings\kim\Bureau\l2mfix
System Rebooted!
Running From:
C:\Documents and Settings\kim\Bureau\l2mfix
killing explorer and rundll32.exe
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1360 'explorer.exe'
Killing PID 1360 'explorer.exe'
Killing PID 1360 'explorer.exe'
Killing PID 1360 'explorer.exe'
Killing PID 1360 'explorer.exe'
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1684 'rundll32.exe'
Scanning First Pass. Please Wait!
First Pass Completed
Second Pass Scanning
Second pass Completed!
Backing Up: C:\WINDOWS\system32\c000ladm1d0a.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\cgedui.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\cql3dv2.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\d00mlad11d0.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\ddserver.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\e220lcfm1f2a.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\enlul1391.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\f82m0if1e82.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\fnj0211mg.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\hr4005hme.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\i4060edseh060.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\j02qlaf51d2.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\lv0809due.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\lv2q09f5e.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\lv6o09j3e.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\lvjs0917e.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\lvpq0975e.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\mosystem.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\muhgrcoi.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\mytlsapi.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\n4n60e5seh.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\np4_disp.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\o066lajs1do6.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\p4r40e9qeh.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\ptcrt.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\r08s0al7edq.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\sxncui.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\tZpisrv.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\u4rule991h.dll
1 fichier(s) copi(s).
Backing Up: C:\WINDOWS\system32\ulbmon.dll
1 fichier(s) copi(s).
deleting: C:\WINDOWS\system32\c000ladm1d0a.dll
Successfully Deleted: C:\WINDOWS\system32\c000ladm1d0a.dll
deleting: C:\WINDOWS\system32\cgedui.dll
Successfully Deleted: C:\WINDOWS\system32\cgedui.dll
deleting: C:\WINDOWS\system32\cql3dv2.dll
Successfully Deleted: C:\WINDOWS\system32\cql3dv2.dll
deleting: C:\WINDOWS\system32\d00mlad11d0.dll
Successfully Deleted: C:\WINDOWS\system32\d00mlad11d0.dll
deleting: C:\WINDOWS\system32\ddserver.dll
Successfully Deleted: C:\WINDOWS\system32\ddserver.dll
deleting: C:\WINDOWS\system32\e220lcfm1f2a.dll
Successfully Deleted: C:\WINDOWS\system32\e220lcfm1f2a.dll
deleting: C:\WINDOWS\system32\enlul1391.dll
Successfully Deleted: C:\WINDOWS\system32\enlul1391.dll
deleting: C:\WINDOWS\system32\f82m0if1e82.dll
Successfully Deleted: C:\WINDOWS\system32\f82m0if1e82.dll
deleting: C:\WINDOWS\system32\fnj0211mg.dll
Successfully Deleted: C:\WINDOWS\system32\fnj0211mg.dll
deleting: C:\WINDOWS\system32\hr4005hme.dll
Successfully Deleted: C:\WINDOWS\system32\hr4005hme.dll
deleting: C:\WINDOWS\system32\i4060edseh060.dll
Successfully Deleted: C:\WINDOWS\system32\i4060edseh060.dll
deleting: C:\WINDOWS\system32\j02qlaf51d2.dll
Successfully Deleted: C:\WINDOWS\system32\j02qlaf51d2.dll
deleting: C:\WINDOWS\system32\lv0809due.dll
Successfully Deleted: C:\WINDOWS\system32\lv0809due.dll
deleting: C:\WINDOWS\system32\lv2q09f5e.dll
Successfully Deleted: C:\WINDOWS\system32\lv2q09f5e.dll
deleting: C:\WINDOWS\system32\lv6o09j3e.dll
Successfully Deleted: C:\WINDOWS\system32\lv6o09j3e.dll
deleting: C:\WINDOWS\system32\lvjs0917e.dll
Successfully Deleted: C:\WINDOWS\system32\lvjs0917e.dll
deleting: C:\WINDOWS\system32\lvpq0975e.dll
Successfully Deleted: C:\WINDOWS\system32\lvpq0975e.dll
deleting: C:\WINDOWS\system32\mosystem.dll
Successfully Deleted: C:\WINDOWS\system32\mosystem.dll
deleting: C:\WINDOWS\system32\muhgrcoi.dll
Successfully Deleted: C:\WINDOWS\system32\muhgrcoi.dll
deleting: C:\WINDOWS\system32\mytlsapi.dll
Successfully Deleted: C:\WINDOWS\system32\mytlsapi.dll
deleting: C:\WINDOWS\system32\n4n60e5seh.dll
Successfully Deleted: C:\WINDOWS\system32\n4n60e5seh.dll
deleting: C:\WINDOWS\system32\np4_disp.dll
Successfully Deleted: C:\WINDOWS\system32\np4_disp.dll
deleting: C:\WINDOWS\system32\o066lajs1do6.dll
Successfully Deleted: C:\WINDOWS\system32\o066lajs1do6.dll
deleting: C:\WINDOWS\system32\p4r40e9qeh.dll
Successfully Deleted: C:\WINDOWS\system32\p4r40e9qeh.dll
deleting: C:\WINDOWS\system32\ptcrt.dll
Successfully Deleted: C:\WINDOWS\system32\ptcrt.dll
deleting: C:\WINDOWS\system32\r08s0al7edq.dll
Successfully Deleted: C:\WINDOWS\system32\r08s0al7edq.dll
deleting: C:\WINDOWS\system32\sxncui.dll
Successfully Deleted: C:\WINDOWS\system32\sxncui.dll
deleting: C:\WINDOWS\system32\tZpisrv.dll
Successfully Deleted: C:\WINDOWS\system32\tZpisrv.dll
deleting: C:\WINDOWS\system32\u4rule991h.dll
Successfully Deleted: C:\WINDOWS\system32\u4rule991h.dll
deleting: C:\WINDOWS\system32\ulbmon.dll
Successfully Deleted: C:\WINDOWS\system32\ulbmon.dll
Desktop.ini sucessfully removed
Zipping up files for submission:
adding: c000ladm1d0a.dll (164 bytes security) (deflated 4%)
adding: cgedui.dll (164 bytes security) (deflated 4%)
adding: cql3dv2.dll (164 bytes security) (deflated 3%)
adding: d00mlad11d0.dll (164 bytes security) (deflated 5%)
adding: ddserver.dll (164 bytes security) (deflated 4%)
adding: e220lcfm1f2a.dll (164 bytes security) (deflated 5%)
adding: enlul1391.dll (164 bytes security) (deflated 4%)
adding: f82m0if1e82.dll (164 bytes security) (deflated 4%)
adding: fnj0211mg.dll (164 bytes security) (deflated 3%)
adding: hr4005hme.dll (164 bytes security) (deflated 4%)
adding: i4060edseh060.dll (164 bytes security) (deflated 4%)
adding: j02qlaf51d2.dll (164 bytes security) (deflated 3%)
adding: lv0809due.dll (164 bytes security) (deflated 5%)
adding: lv2q09f5e.dll (164 bytes security) (deflated 3%)
adding: lv6o09j3e.dll (164 bytes security) (deflated 4%)
adding: lvjs0917e.dll (164 bytes security) (deflated 5%)
adding: lvpq0975e.dll (164 bytes security) (deflated 4%)
adding: mosystem.dll (164 bytes security) (deflated 4%)
adding: muhgrcoi.dll (164 bytes security) (deflated 4%)
adding: mytlsapi.dll (164 bytes security) (deflated 4%)
adding: n4n60e5seh.dll (164 bytes security) (deflated 4%)
adding: np4_disp.dll (164 bytes security) (deflated 3%)
adding: o066lajs1do6.dll (164 bytes security) (deflated 4%)
adding: p4r40e9qeh.dll (164 bytes security) (deflated 4%)
adding: ptcrt.dll (164 bytes security) (deflated 4%)
adding: r08s0al7edq.dll (164 bytes security) (deflated 5%)
adding: sxncui.dll (164 bytes security) (deflated 4%)
adding: tZpisrv.dll (164 bytes security) (deflated 4%)
adding: u4rule991h.dll (164 bytes security) (deflated 4%)
adding: ulbmon.dll (164 bytes security) (deflated 4%)
adding: clear.reg (164 bytes security) (deflated 37%)
adding: echo.reg (164 bytes security) (deflated 8%)
adding: desktop.ini (164 bytes security) (deflated 13%)
adding: direct.txt (164 bytes security) (stored 0%)
adding: lo2.txt (164 bytes security) (deflated 84%)
adding: readme.txt (164 bytes security) (deflated 49%)
adding: report.txt (164 bytes security) (deflated 63%)
adding: test.txt (164 bytes security) (deflated 80%)
adding: test2.txt (164 bytes security) (deflated 17%)
adding: test3.txt (164 bytes security) (deflated 17%)
adding: test5.txt (164 bytes security) (deflated 17%)
adding: xfind.txt (164 bytes security) (deflated 75%)
adding: backregs/7A07AB32-2110-4CAA-AD8C-4494B982ECC3.reg (164 bytes security) (deflated 70%)
adding: backregs/9107E830-222B-44F8-91E4-7A9235BD5C82.reg (164 bytes security) (deflated 70%)
adding: backregs/shell.reg (164 bytes security) (deflated 74%)
Restoring Registry Permissions:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Revoking access for really "Everyone"
Registry permissions set too:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332
deleting local copy: c000ladm1d0a.dll
deleting local copy: cgedui.dll
deleting local copy: cql3dv2.dll
deleting local copy: d00mlad11d0.dll
deleting local copy: ddserver.dll
deleting local copy: e220lcfm1f2a.dll
deleting local copy: enlul1391.dll
deleting local copy: f82m0if1e82.dll
deleting local copy: fnj0211mg.dll
deleting local copy: hr4005hme.dll
deleting local copy: i4060edseh060.dll
deleting local copy: j02qlaf51d2.dll
deleting local copy: lv0809due.dll
deleting local copy: lv2q09f5e.dll
deleting local copy: lv6o09j3e.dll
deleting local copy: lvjs0917e.dll
deleting local copy: lvpq0975e.dll
deleting local copy: mosystem.dll
deleting local copy: muhgrcoi.dll
deleting local copy: mytlsapi.dll
deleting local copy: n4n60e5seh.dll
deleting local copy: np4_disp.dll
deleting local copy: o066lajs1do6.dll
deleting local copy: p4r40e9qeh.dll
deleting local copy: ptcrt.dll
deleting local copy: r08s0al7edq.dll
deleting local copy: sxncui.dll
deleting local copy: tZpisrv.dll
deleting local copy: u4rule991h.dll
deleting local copy: ulbmon.dll
The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"Asynchronous"=dword:00000000
"DllName"=""
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
The following are the files found:
****************************************************************************
C:\WINDOWS\system32\c000ladm1d0a.dll
C:\WINDOWS\system32\cgedui.dll
C:\WINDOWS\system32\cql3dv2.dll
C:\WINDOWS\system32\d00mlad11d0.dll
C:\WINDOWS\system32\ddserver.dll
C:\WINDOWS\system32\e220lcfm1f2a.dll
C:\WINDOWS\system32\enlul1391.dll
C:\WINDOWS\system32\f82m0if1e82.dll
C:\WINDOWS\system32\fnj0211mg.dll
C:\WINDOWS\system32\hr4005hme.dll
C:\WINDOWS\system32\i4060edseh060.dll
C:\WINDOWS\system32\j02qlaf51d2.dll
C:\WINDOWS\system32\lv0809due.dll
C:\WINDOWS\system32\lv2q09f5e.dll
C:\WINDOWS\system32\lv6o09j3e.dll
C:\WINDOWS\system32\lvjs0917e.dll
C:\WINDOWS\system32\lvpq0975e.dll
C:\WINDOWS\system32\mosystem.dll
C:\WINDOWS\system32\muhgrcoi.dll
C:\WINDOWS\system32\mytlsapi.dll
C:\WINDOWS\system32\n4n60e5seh.dll
C:\WINDOWS\system32\np4_disp.dll
C:\WINDOWS\system32\o066lajs1do6.dll
C:\WINDOWS\system32\p4r40e9qeh.dll
C:\WINDOWS\system32\ptcrt.dll
C:\WINDOWS\system32\r08s0al7edq.dll
C:\WINDOWS\system32\sxncui.dll
C:\WINDOWS\system32\tZpisrv.dll
C:\WINDOWS\system32\u4rule991h.dll
C:\WINDOWS\system32\ulbmon.dll
Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}"=-
"{9107E830-222B-44F8-91E4-7A9235BD5C82}"=-
[-HKEY_CLASSES_ROOT\CLSID\{7A07AB32-2110-4CAA-AD8C-4494B982ECC3}]
[-HKEY_CLASSES_ROOT\CLSID\{9107E830-222B-44F8-91E4-7A9235BD5C82}]
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{CCCFE24E-B65B-478A-B399-D43662DCB3B4}"=-
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
<IDone>{CCCFE24E-B65B-478A-B399-D43662DCB3B4}</IDone>
<IDtwo>VT01</IDtwo>
<VERSION>200</VERSION>
****************************************************************************
Marsh Posté le 07-02-2005 à 21:55:07
Logfile of HijackThis v1.99.0
Scan saved at 21:56:02, on 07/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\myCIO\Agent\myagttry.exe
C:\WINDOWS\myCIO\VScan\McShield.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\_Download\spyware\HijackThis.exe
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [myCIO.com ASaP] C:\WINDOWS\myCIO\Agent\myagttry.exe
O4 - HKLM\..\Run: [myCIO.com Splash] C:\WINDOWS\myCIO\VScan\Splash.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscanasap.mondsi.com/VS2/bin/myCioAgt.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5CE7A7AF-8C5E-48CF-AE30-8FC6F01C27E3} - http://us.dl1.yimg.com/download.ya [...] r1_3fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\WINDOWS\myCIO\Agent\myRmProt2.8.1.135.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: McShield - Network Associates, Inc. - C:\WINDOWS\myCIO\VScan\McShield.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: McAfee Agent - Unknown - C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Marsh Posté le 07-02-2005 à 21:57:01
Ok. Lance HijackThis, coche ces lignes :
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
Clique "Fix checked".
Reboot.
Poste un dernier log.
Marsh Posté le 07-02-2005 à 22:04:42
Logfile of HijackThis v1.99.0
Scan saved at 22:04:46, on 07/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\myCIO\Agent\myagttry.exe
C:\WINDOWS\myCIO\VScan\McShield.exe
C:\WINDOWS\system32\wuauclt.exe
C:\_Download\spyware\HijackThis.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [myCIO.com ASaP] C:\WINDOWS\myCIO\Agent\myagttry.exe
O4 - HKLM\..\Run: [myCIO.com Splash] C:\WINDOWS\myCIO\VScan\Splash.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscanasap.mondsi.com/VS2/bin/myCioAgt.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5CE7A7AF-8C5E-48CF-AE30-8FC6F01C27E3} - http://us.dl1.yimg.com/download.ya [...] r1_3fr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\WINDOWS\myCIO\Agent\myRmProt2.8.1.135.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: McShield - Network Associates, Inc. - C:\WINDOWS\myCIO\VScan\McShield.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: McAfee Agent - Unknown - C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Marsh Posté le 07-02-2005 à 22:07:02
dans le fichier hosts ces lignes existent toujours
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
Marsh Posté le 07-02-2005 à 22:15:34
Yep! Voilà comment faire sauter ces parasites!
===========
Pour le fichier hosts voici le début du mien:
Citation : # This MVPS HOSTS file is a free download from: # |
Le retour à 127.0.0.1 justement te protège.
Marsh Posté le 07-02-2005 à 22:19:09
génial mon le PC a l'air de tourner mieux la.
je te remercie enormement Acrobaze ça fait 1 mois que ça dure et j'ai failli formater mais grace a toi a remarche a merveille
merci encore
Marsh Posté le 13-02-2005 à 17:59:06
ca me parait bien compliqué,installer un anti pop-up ne suffit pas ?
Marsh Posté le 13-02-2005 à 20:22:58
sourion a écrit : ca me parait bien compliqué,installer un anti pop-up ne suffit pas ? |
Non. Là, ce n'est pas un popup...c'est un trojan.
Marsh Posté le 12-03-2005 à 12:13:33
acrobaze a écrit : Non. Là, ce n'est pas un popup...c'est un trojan. |
Pfff, plein le c.. de ce trojan, j'ai pas tout compris comment faire pour l'enlever, je suis pas assez pro. Apparement on peut l enlever mais y aurait il une bonne âme pour expliquer plus clairement comment faire pour gicler ce trojan?? Merci...
Marsh Posté le 12-03-2005 à 22:23:38
indica74 a écrit : Pfff, plein le c.. de ce trojan, j'ai pas tout compris comment faire pour l'enlever, je suis pas assez pro. Apparement on peut l enlever mais y aurait il une bonne âme pour expliquer plus clairement comment faire pour gicler ce trojan?? Merci... |
Poste un log HijackThis, pour voir.
Marsh Posté le 14-03-2005 à 12:20:42
Logfile of HijackThis v1.91.2
Scan saved at 12:18:21, on 14.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file)
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [Narrator] C:\WINDOWS\System32\iwwowi.exe
O4 - HKLM\..\RunServices: [Microsoft-Update Services] svchosts.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [Microsoft-Update Services] svchosts.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: MemTurbo.lnk = C:\Program Files\MemTurbo\MemTurbo.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Orite.lnk = C:\Program Files\Intercom\LiveSuite\Orite.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Search (HKLM)
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Search (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\aklsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\aklsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\aklsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\dolsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\dolsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\dolsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\dolsp.dll
O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\aklsp.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4307313133
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPai [...] nstall.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub [...] wflash.cab
Et voilà, j'éspère que tu pourras m'aider, merci....
Marsh Posté le 14-03-2005 à 18:42:19
Il est multi-infecté cet ordi. Espére que ce n'est pas "Bube".
Télécharge LspFix:
http://www.spychecker.com/download [...] spfix.html
- Coche "I know what I'm doing"
- Fais passer de gauche à droite tous les aklsp.dll et dolsp.dll
- Clique "Finish"
- Redémarre.
Poste un nouveau log ENTIER.
Marsh Posté le 15-03-2005 à 12:33:00
Pas très rejouissant cette multi-infection. Mais j'ai suivi tes conseils et fait le necessaire avec Lspfix. Voilà mon log....
Logfile of HijackThis v1.91.2
Scan saved at 12:28:00, on 15.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [sgniuly] c:\windows\system32\sgniuly.exe
O4 - HKLM\..\RunServices: [Microsoft-Update Services] svchosts.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [Microsoft-Update Services] svchosts.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: MemTurbo.lnk = C:\Program Files\MemTurbo\MemTurbo.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Orite.lnk = C:\Program Files\Intercom\LiveSuite\Orite.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Search (HKLM)
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Search (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4307313133
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPai [...] nstall.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub [...] wflash.cab
Marsh Posté le 15-03-2005 à 18:44:09
Non, ce n'est pas très réjouissant...et très embêtant à enlever.
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [sgniuly] c:\windows\system32\sgniuly.exe
O4 - HKLM\..\RunServices: [Microsoft-Update Services] svchosts.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [Microsoft-Update Services] svchosts.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] winupdate.exe
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Et supprime:
C:\WINDOWS\System32\wsxsvc<-le dossier
C:\WINDOWS\isrvs\ <-le dossier
C:\WINDOWS\farmmext.exe
C:\PROGRA~1\VBouncer <-dossier
c:\windows\system32\sgniuly.exe
avec "rechercher" :
svchosts.exe <- attention! avec un "s" final!
winupdate.exe
Vide la corbeille. Redémarre en mode normal et poste un nouveau log.
Il me faut absolument un log ENTIER. Après "Scan", clique "Save log", enregistre le log et c'est lui que tu copies/colles ici.
Marsh Posté le 04-01-2005 à 16:09:25
Salut à tous
J'ai un popup qui s'ouvre toutes les 5 min à peu près sur l'adresse
http://www.ad-W-A-R-E.com/
redirigée vers
http://eblocs.com/spyblocs/adv/admed_008.html
Y'a aussi (je ne sais pas si c'est lié) :
http://www.loadingwebsite.com/normal/yyy17.html
redirigée vers
http://mediabuy-nic.cjt1.net/...
J'ai essayé de le virer avec Ad-aware, HijackThis, SpyBotS&D, Spywareblaster, mais rien à faire.
Qq'un a une idée ??
Merci d'avance
Message édité par carl_hungus le 21-01-2005 à 12:39:01