Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2504 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Auteur Sujet :

besoin d'un avis pour hjt (stonangel welcome)

n°2103850
stonangel
Posté le 24-07-2005 à 11:04:57  profilanswer
 

Reprise du message précédent :
Salut wawaseb, je l'ai zappé...

mood
Publicité
Posté le 24-07-2005 à 11:04:57  profilanswer
 

n°2104040
balltrap34
Posté le 24-07-2005 à 13:25:44  profilanswer
 

salut a tous


---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/
n°2104477
flit
modo des ups
Posté le 24-07-2005 à 20:00:24  profilanswer
 

:hello:  a tous et  :jap:  a vous trois du coup de main a mon fiston :love:  
 
 
je reprends la main apres flitjr : j'ai fait la manip avec l'uninstaller de purityscan,un scan avec adaware et ewido qi n'ont rien trouve :wahoo:  
 
par contre impossible de trouver ce maudit r?ndll32.exe,et le pc continue a vouloir se connecter d'une maniere intempestive :??:  
 
je refais un scan chez panda et je repost apres l'apero :ange: ,ou sinon Flitjr le fera si   :pt1cable:  
 
 
 :jap:  
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2104666
flit
modo des ups
Posté le 24-07-2005 à 22:48:17  profilanswer
 

Re,
 
 
voilà le rapport du scan de Panda :
 
 
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Adware:Adware/PurityScan      No disinfected                C:\WINDOWS\system32\r?ndll32.exe                                                                                                                                                                                                                                
et celui d'Hjt :
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 22:47:01, on 24/07/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Louis\Mes documents\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://louiskool.tooblog.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAF76CD1-7BB8-424F-B5C7-F13EF2A2C667}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
 
çà commence a s'eclaicir ;)  
 
 
 :jap:  
 
 
@+
 


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2104669
flit
modo des ups
Posté le 24-07-2005 à 22:50:14  profilanswer
 

Euh...question naive : les 3 activeX de msn,c'est normal?
 
 :jap:  
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2104680
stonangel
Posté le 24-07-2005 à 22:58:02  profilanswer
 

Bonsoir flit, ouvre Killbox et entre:
 
C:\WINDOWS\system32\r?ndll32.exe
 
Coche delete on reboot et clique sur la croix blanche.
 
Tu peux fixer avec Hijackthis sans problème toutes les 016.  
 
Consulte cette page:
http://www.doxdesk.com/parasite/PurityScan.html
 
Dis ce qu'il en est
 

n°2104698
flit
modo des ups
Posté le 24-07-2005 à 23:08:52  profilanswer
 

:jap: Stonangel d'etre fidele au post
 
pour l'instant je n'ai + acces a la machine(Flitjr  :sleep: )
 
mais demain je fais la manip;par contre je desactive la restauration ou pas?
 
 :jap:  
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2104705
stonangel
Posté le 24-07-2005 à 23:13:47  profilanswer
 

Non, garde des points de restauration dans la mesure où aucun scan n'a fait apparaître quelque chose dedans. Voir ici:
http://forum.zebulon.fr/index.php? [...] =71064&hl=

n°2104729
flit
modo des ups
Posté le 24-07-2005 à 23:34:26  profilanswer
 

Re,
 
ton lien est edifiant :
 
http://www.doxdesk.com/parasite/PurityScan.html
 
 
je consulte demain celui de Zebulon
 
 
mci encore a toi et bonne nuit
 
@+
 
 
 
ps : çà fait longtemps que tu ne m'as pas envoye un mp :ange:  ;)


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2105409
flit
modo des ups
Posté le 25-07-2005 à 16:08:06  profilanswer
 

:hello:  a tous,
 
 
bon,pb avec Killbox:quand je rentre le path en mode normal ou sans echec,j'ai le message suivant :
 
"pendingfilerenameoperations registry data has been removed by external process"
 
j'ai essaye avec MoveonBoot qui me dit "incorrect file name" :??:  
 
 
par contre Panda le trouve tjrs :cry: :
 
 
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Adware:Adware/PurityScan      No disinfected                C:\WINDOWS\system32\r?ndll32.exe                                                                      
 
 
????
 
 
 :jap:  
 
@+                                                                                                                                                          


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
mood
Publicité
Posté le 25-07-2005 à 16:08:06  profilanswer
 

n°2105421
wawaseb
Posté le 25-07-2005 à 16:20:59  profilanswer
 

Oki...
 
Ton ordinateur n'est pas à jour... pas de SP2... Ce dernier comprend un FireWall qui empêche le re-téléchargement de crasses ! Il faudra peut-être installer un de ces programmes pour localiser le fichier infecté.
 
En attendant, tu vas cliquer sur "démarrer" -> "Exécuter" et taper sans guillemet "regedit" +OK
Là, tu cliques sur "Edition" -> "Rechercher" et tu tapes "exefile". Chque fois qu'il en trouve, tu vérifies dans "shell->open->command" (colonne de droite) que tes valeurs sont bien à "%1"%* ...
 
Ensuite, tu re-démarres en console de récupération (avec le CD d'XP, choisir "réparer une installation" ), tu choisis l'installation concernée et tu vas dans "C:\WINDOWS\system32" à l'aide de "cd system32"+ENTER
Enfin, tu tapes "del r?ndll32.exe". S'il ne le trouve pas, essaye de voir quel pourrait être le fichier via "dir r*.exe"+ENTER !
 
Bonne chance...


Message édité par wawaseb le 25-07-2005 à 16:21:32
n°2105651
flit
modo des ups
Posté le 25-07-2005 à 18:42:28  profilanswer
 

:jap:  a toi
 
mais pb : quand je lance l'ASR,on me demande une D7 que je n'ai pas,et quand je choisis reparer ou recuperer,on me demande le mot de passe administrateur,le truc est que je ne m'en souviens pas :pfff: ,et que je ne me souviens meme pas en avoir rentrer 1 a l'install :??:  
 
t'as pas une idee :ange: ?
 
 
 :jap:  
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2105664
wawaseb
Posté le 25-07-2005 à 18:48:29  profilanswer
 

T'as essayé "juste ENTER" (aucun mot de passe), admin, Administrateur, administrateur, Admin ?
 
Sinon, ce lien-là peut t'aider : http://www.bellamyjc.net/fr/pwdnt.html (mais cela parait compliqué par rapport à ton problème...)
 
Si tu as toujours ce problème après les vérifications dans la Base Des Registres, installe Sygate Personal FireWall ici :
http://www.zdnet.fr/telecharger/wi [...] 84s,00.htm
 
autorise les processus que tu as appelé TOI-MEME, interdit TOUS les autres... et regarde quel fichier veut se connecter...
 
Bien à toi,

n°2105704
flit
modo des ups
Posté le 25-07-2005 à 19:11:09  profilanswer
 

oui j'ai essaye Enter,admin,la date de naissance de Flitjr,la mienne....
 
pour le firewall,j'utilise a l'heure actuelle Zone alarm,et je n'ai autoriser definitivement que le 80,25 et 110
 
ceux qui reclament a se connecter sont :
 
-svchost.exe(a 3 reprises,avec 3 dns ou IP differents;j'ai fait un tracert sur les 3,un seul dns a ete identifie comme celui de wanadoo)
-msn
-messenger
 
 :??:  
 
 :jap:  
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2105707
wawaseb
Posté le 25-07-2005 à 19:15:46  profilanswer
 

Oups, j'avais pas vu que tu avais déjà un firewall...
Msn ET Messenger qui se connectent ? Ce n'est pas normal... Tout seuls ?
 
A mon avis, tu peux aussi virer le svchost, mais c'est embêtant si tu n'as pas de BootCD ou le mot de passe admin...
 
A ta place, je virerais les msn/messenger pour n'en réinstaller qu'UN SEUL, clean !!!

n°2105714
flit
modo des ups
Posté le 25-07-2005 à 19:22:23  profilanswer
 

en fait des que le pc a charge,un seul des 3 svchost.exe demande la cnx,des que flitjr se connecte,les 2 autres la reclament egalement,ainsi que Msn et Messenger
 
si je refuse l'acces aux svchost,j'ai bien la cnx(c'est comme çà que j'ai fait les maj de nav/ewido/adaware/sppybot et a2squared),mais quand je lance IE,j'ai "impossible de trouver le serveur"....????
 
@+


Message édité par flit le 25-07-2005 à 19:25:42

---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2105717
flit
modo des ups
Posté le 25-07-2005 à 19:24:40  profilanswer
 

+1 avec toi pour msn et messenger,et d'ailleurs si çà ne tenait qu'à moi,je virerais bien les 2... ;)  
 
mais bon,çà va declencher un conflit de generations :ange:  
 
 :jap:  
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2105718
wawaseb
Posté le 25-07-2005 à 19:24:55  profilanswer
 

Vérifie dans la base des registres les fichiers "htafile" (voir plus haut avec "exefile" )...
 
Tu devrais avoir une ligne qui parle de mshta.exe (C'EST TOUT)

n°2105728
flit
modo des ups
Posté le 25-07-2005 à 19:30:24  profilanswer
 

merci a toi
 
je viens de le faire et j'en ai 5,localisess a differents endroits
 
je les supprime?
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2105755
flit
modo des ups
Posté le 25-07-2005 à 19:46:56  profilanswer
 

rectif : dans les htafile,je n'ai qu'une ligne avec le mshta.exe
 
par contre quand je fais la recherche par mshta.exe,j'en ai bien 5...
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2105809
wawaseb
Posté le 25-07-2005 à 20:45:21  profilanswer
 

Impossible à dire mshta.exe peut être un trojan, mais c'est à la base un fichier de Windows...
 
Rends-toi à cette adresse (http://www.virustotal.com/xhtml/virustotal_en.html) et teste les différents mshta.exe en les envoyant l'un à la suite de l'autre...
 
Il faudra faire la même chose avec tes "svchost" qui ne me disent rien de bon !

n°2107320
flit
modo des ups
Posté le 27-07-2005 à 00:00:50  profilanswer
 

:hello: a tous et  :jap:  a toi pour ce lien
 
j'ai mis un certain temps avant de capter la manip,mais demain je la fais et je repost ;)  
 
 
 :jap:  
 
@+


---------------
Id trade all my tomorrows for a single yesterday  Team R@B
n°2134768
oscarc
Posté le 23-08-2005 à 22:31:56  profilanswer
 

Bonjour,
 
En temps que victime et non ''informaticien'' je fus soulagé de trouver le mal qui me cassait les pieds depuis un moment. Puis j'ai déchanté quand j'ai compris que c'était la galère de sortir ce truc de mon PC. Mais quand je lis tous les messages sur les forum qui parlent de cette plaie je ne vois aucun message qui incite à boycoter harceler C2média. Une boite qui casse les pieds de milliers d'utilisateurs et personne pour envisager de leur casser les pieds. On sait qu'il s'agit de : Lop.com / C2 Media LTD. Info
 
support@lop.com
advertise@lop.com
webmaster@lop.com
 
Les propriétaires sont:
Alex Shamash, alex@lop.com
Jason Lucas, jason@lop.com
 
Checking server [whois.crsnic.net]
Checking server [whois.opensrs.net]
Results:
Registrant:
Lop.com
Unit 12
571 Finchley Road
Hampstead
London, NW3 7BN
UK
 
Domain name: LOP.COM
 
Administrative Contact:
Live, Media webmaster@lop.com
Unit 12
571 Finchley Road
Hampstead
London, NW3 7BN
UK
+ 44 7817 130 743
Technical Contact:
Live, Media webmaster@lop.com
Unit 12
571 Finchley Road
Hampstead
London, NW3 7BN
UK
+ 44 7817 130 743
 
Ne peut-on rien faire de France ? Si ils se trouvaient en chine ou en russie je ne dis pas mais là à londres.
 
Si il y en a qui savent comment les bloquer et me débarasser simplement de ce truc je suis à l'écoute.
 
A vous lire

n°2134781
acrobaze
Posté le 23-08-2005 à 22:41:15  profilanswer
 

oscarc
 
Ils proposent sur leur site un fichier pour désinstaller :
 
http://lop.com/help.html#uninstall
 
 
 

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
besoin de pro : copier nom de plusieur fichier d'un dossier ???Besoin d'aide pour une Installation wifi
Votre avis sur une config Windows TSE svp !!Avis WIFI
Problem d'install win xp. Besoin de vos conseil.demande avis sur une futur installation wifi
Serveur dedié virtuel - besoin d'aide !!!Besoin de renseignement sur Exchange
Avis à tous les utilisateurs de windows xp --> pack de mise a jourbesoin d'avis pour hijackthis(Stonangel welcome)
Plus de sujets relatifs à : besoin d'un avis pour hjt (stonangel welcome)


Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)