Forum | | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1587 connectés 

  Windows & Software

  magiccontrol agent :comment le supprimer???


 Mot :   Pseudo :  
Bas de page
Auteur Sujet :

magiccontrol agent :comment le supprimer???

Posté le 12-10-2005 à 19:25:08  profilanswer

bonsoir à tous,
voila je crois ne pas etre le seul à avoir cette merde détecté par spybot:à chaque je l'efface et à chaque fois il revient...en fait avec internet explorer ça fait ouvrir des pubs de toute sorte et c'est gavant...
 Avez vous une solution svp ???

Posté le 12-10-2005 à 19:25:08  profilanswer

Posté le 12-10-2005 à 21:50:48  profilanswer

tu devrais bloquer IE avec PowerIE

Posté le 13-10-2005 à 13:48:08  profilanswer

salut brisco.En fait j'ai installé la nouvelle version de spybot (la 1.4).Ce coup ci il ne voit plus Magiccontrol.agent mais j'ai toujours l'ouverture intempestive de fenetres publicitaires avec IE.
 Je ne vois pas en quoi power ie va m'aider à résoudre le pb.
 Ci joint mon log de hijack si toi ou quelqu'un d'autre peut y voir qqe chose de bizarre.
Logfile of HijackThis v1.99.1
Scan saved at 13:47:45, on 13/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp3\winampa.exe
C:\program files\mailskinner\mailskinner.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\popo\LOCALS~1\Temp\Répertoire temporaire 3 pour\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - [...]
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) -
O16 - DPF: {26D73573-F1B3-48C9-A989-E6CE071957A1} - [...]
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - [...]
O16 - DPF: {E114CD5B-17CE-4807-890E-7B1EDF9F2E5E} - [...]
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - [...]
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B2CD069-B0C1-4247-BC26-B8E5010924C9}: NameServer =
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

True M F !
Posté le 13-10-2005 à 14:34:44  profilanswer

Alors... on fait le coquin ? -->
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) -
Sinon, rien d'anormal dans le log. Et pour ce qui est de ton agent magique : [...] gicControl (2s sous google...)

Posté le 13-10-2005 à 15:16:07  profilanswer

En fait j'ai enlevé des merdes avec l'analyse du log sur le site hijack this,mais j'ai toujours des fenetres (toujours les memes:  casino virtuel golden palace par exemple...) qui s'ouvrent avec ie et aucun logiciel (adaware,spybot...etc)ne trouve qqe chose...E fait je me demande si ça vient de magiccontrol (qui d'ailleurs n'est plus repéré par spybot depuis un petit moment)ou est ce autre chose ???
 Merci à vous

True M F !
Posté le 13-10-2005 à 15:25:38  profilanswer

maille-hem a écrit :

Sinon, rien d'anormal dans le log. Et pour ce qui est de ton agent magique : [...] gicControl (2s sous google...)

....tu lis les réponses qu'on te poste ou tu fais juste semblant ?!

Posté le 13-10-2005 à 19:27:05  profilanswer

Il ne fallait pas enlever "des merdes avec l'analyse du log sur le site hijack this" comme tu dis.
Cocher une ligne n'enlève pas les fichiers qui peuvent être lancés d'ailleurs. Et maintenant, on ne voit plus rien.
Fais ceci : télécharge SilentRunners.vbs.
Lance-le. Il génère un log, un peu comme HijackThis. Copie/colle le (ENTIER !)

Posté le 14-10-2005 à 13:27:09  profilanswer

salut maille.Si si j'ai téléchargé Xoftspy mais il n'a rien trouvé concernant Magiccontrol.agent.En fait il n'a strictement rien détecté d'anormal...donc je pense que ces pop ups doivent provenir d'autre chose:cependant Adaware,Spybot et donc Xoftspy ne trouvent rien du tout (pourtant tous lancés avec les dernieres mises à jour).
 Sinon pour Acrobaze:le log que j'avais avec hijack this avant de supprimer des lignes est celui imprimé juste au dessus.J'essaye ton lien en ce moment.
 Merci pour votre aide.Je vous tiens au courant

Posté le 14-10-2005 à 13:30:37  profilanswer

Bien voici le log de silent runners: bon courage car je n'y comprends rien...merci encore :
"Silent Runners.vbs", revision 41,
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [null data]
"WINSOS VERIFY" = ""C:\Program Files\WINSOS\WINSOS.EXE" MINI" [file not found]
"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE" ["Dritek System Inc."]
"NWEReboot" = (empty string)
"RealTray" = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"WinampAgent" = ""C:\Program Files\Winamp3\winampa.exe"" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
Active Desktop and Wallpaper:
Active Desktop is disabled at this entry:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\popo\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Startup items in "popo" & "All Users" startup folders:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Enabled Scheduled Tasks:
"FRU Task #Hewlett-Packard#hp psc 1200 series#1099565548" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1099565548"" [empty string]
Winsock2 Service Provider DLLs:
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msjava.dll" [MS]
"ButtonText" = "Organise-notes"
"ButtonText" = ""
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=
[Strings]: SAFESITE_VALUE=""
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Print Monitors:
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
  use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 35 seconds, including 15 seconds for message boxes)

Posté le 14-10-2005 à 13:35:13  profilanswer

Voici le meme log mais apparemment plus précis (en cliquant "no" au message skip....:
"Silent Runners.vbs", revision 41,
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [null data]
"WINSOS VERIFY" = ""C:\Program Files\WINSOS\WINSOS.EXE" MINI" [file not found]
"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE" ["Dritek System Inc."]
"NWEReboot" = (empty string)
"RealTray" = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"WinampAgent" = ""C:\Program Files\Winamp3\winampa.exe"" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
Active Desktop and Wallpaper:
Active Desktop is disabled at this entry:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\popo\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Startup items in "popo" & "All Users" startup folders:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Enabled Scheduled Tasks:
"FRU Task #Hewlett-Packard#hp psc 1200 series#1099565548" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1099565548"" [empty string]
Winsock2 Service Provider DLLs:
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msjava.dll" [MS]
"ButtonText" = "Organise-notes"
"ButtonText" = ""
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=
[Strings]: SAFESITE_VALUE=""
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Print Monitors:
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 44 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
  took 12 seconds.
---------- (total run time: 73 seconds)

Posté le 14-10-2005 à 13:35:13  profilanswer

True M F !
Posté le 14-10-2005 à 13:38:16  profilanswer

ça c'est pas bon :
fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
Et puis le lien que je t'avais donné n'était pas pour télécharger XoftSpy mais pour suivre la procédure indiquée dans la page...
@+ !

Posté le 14-10-2005 à 14:24:38  profilanswer

ok maille donc pour ce fichier puis je l'enlever en mode normal ou dois je le faire en mode sans echec .Dois je désactiver la restauration systeme avant de l'enlever (car ça peut jouer sur le fait qu'il revienne également...)
Sinon pour la procédure complete de magiccotrol.agent le probleme est que les dossiers et fichiers ne sont pas simples à trouver sans parler des 2 valeurs de registre non détaillées...
 je penche plutot sur le fait que les pop up viennent d'autre chose (peut etre ce fwbzvqucxi...).Ce coup ci j'attends vos réponses avant d'enlever quoi que ce soit. Merci !

Posté le 14-10-2005 à 14:36:44  profilanswer

juste pour info et avant de modifier qqe chose:concernant ce  
fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
qui serait mauvais: il n'existe pas quand je vais dans le lien décrit.
 Et dans Démarre/executer/msconfig/demarrage j'ai en effet de coché fwbzvqucxi en élt de démarrage.

Posté le 14-10-2005 à 15:42:12  profilanswer

Encore moi: spybot vient de redétecter Magiccontrol.agent . La valeur du registre mentionnée est :

True M F !
Posté le 14-10-2005 à 16:13:41  profilanswer

lolo1717 a écrit :

Sinon pour la procédure complete de magiccotrol.agent le probleme est que les dossiers et fichiers ne sont pas simples à trouver sans parler des 2 valeurs de registre non détaillées...

Les 2 qui ne sont pas détaillées tu laisse tomber... par contre pour le reste je n'ai que 2 choses à dire : ctrl+f dans le registre et Win+F pour le reste.
Si Spybot et les autres ne détectent rien, il te reste le nettoyage manuel... Mais bon, c'est fatiguant...

Posté le 14-10-2005 à 17:47:31  profilanswer

Il faut que tu prennes conscience que si tu n'y connais pas grand-chose, il peut en être de même pour n'importe qui qui te répond dans un forum comme celui-ci.
1- Désinstalle immédiatement Xoftspy qui est un "rogue" : [...] m#xos_note
2- Télécharge "PocketKillBox" sur :
Pose-le sur ton bureau. Lance-le.  
Dans "Paste full path of file.." ->copie/colle: c:\windows\system32\fwbzvqucxi.exe  
Tu peux le faire avec cette fenêtre ouverte, ce sera plus pratique pour le copier/coller.
Coche "Delete on reboot".  
Clique "Delete File". (La croix blanche)
Laisse l'ordi redémarrer, poste un nouveau log SilentRunners et dis ce qu'il en est des popups.

True M F !
Posté le 14-10-2005 à 17:54:02  profilanswer

Personne lui a jamais conseillé d'installer XoftSpy...

Posté le 15-10-2005 à 12:09:30  profilanswer

salut Acrobaze et merci de m'aider: j'ai bien déinstallé Xoftspy et téléchargé Pocket Bill :au 1er essai avec Pocket bill j'ai bien suivi les opérations en faisant le copier coller de c:\windows\system32\fwbzvqucxi.exe
puis  "delete on reboot" puis "delete file".Ca a bien redemarré mais toujours des pops ups et là j'ai réssayé meme opération avec comme message de réponse:
"Pending File Rename Operations Registry Data has been removed by external process". De plus dans Demarrer executer msconfig j'ai bien toujours c:\windows\system32\fwbzvqucxi.exe de coché. Le décocher ici ne serait pas bon??? merci

Posté le 15-10-2005 à 12:47:42  profilanswer

Il peut être dans msconfig sans pour cela être présent sur le DD.  
Reposte un log SilentRunners pour voir s'il est bien éliminé...ou peut-être remplacé (??)
Aussi, fais ceci : lance HijackThis -> config -> misc tools -> open uninstall manager
Sauvegarde la liste et copie/colle la ici.
Si le fichier est toujours présent ou remplacé, on le fera analyser. Tout récemment, il y a eu des cas de rootkits un peu dans le même genre.

Posté le 15-10-2005 à 12:58:28  profilanswer

Alors voici le dernier log silent runners+ liste Hijack :
"Silent Runners.vbs", revision 41,
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [null data]
"WINSOS VERIFY" = ""C:\Program Files\WINSOS\WINSOS.EXE" MINI" [file not found]
"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE" ["Dritek System Inc."]
"NWEReboot" = (empty string)
"RealTray" = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"WinampAgent" = ""C:\Program Files\Winamp3\winampa.exe"" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
Active Desktop and Wallpaper:
Active Desktop is disabled at this entry:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\popo\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Startup items in "popo" & "All Users" startup folders:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Enabled Scheduled Tasks:
"FRU Task #Hewlett-Packard#hp psc 1200 series#1099565548" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1099565548"" [empty string]
Winsock2 Service Provider DLLs:
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msjava.dll" [MS]
"ButtonText" = "Organise-notes"
"ButtonText" = ""
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=
[Strings]: SAFESITE_VALUE=""
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Print Monitors:
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 40 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
  took 11 seconds.
---------- (total run time: 74 seconds)
Liste Hijack:
7000 Lettres et Courriers Types
Ad-Aware SE Personal
Adobe Acrobat 5.0
Agere Systems AC'97 Modem
Aspire 1350
ATI Control Panel
ATI Display Driver
Barre d'outils MSN
Canon Digital Camera USB WIA Driver
Canon PhotoRecord
Canon Utilities PhotoStitch 3.1
Canon Utilities RAW Image Converter
Canon Utilities RemoteCapture 2.2
Canon Utilities ZoomBrowser EX
CDBurnerXP Pro 3
Collection Microsoft Encarta 2004
Correctif Windows XP - KB834707
Correctif Windows XP - KB867282
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
Correctif Windows XP - KB888113
Correctif Windows XP - KB888302
Correctif Windows XP - KB890047
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB890923
Correctif Windows XP - KB891781
Correctif Windows XP - KB893066
Correctif Windows XP - KB893086
DeepBurner v1.6.0.198
Disque de souvenirs HP
DVD Identifier
DVD Shrink 3.2
Ecran de veille AOL Photos
EVEREST Home Edition v2.01
Google Earth
HijackThis 1.99.1
hp psc 1200 series
Indeo® Software
Jasc Paint Shop Pro 8
Java 2 Runtime Environment, SE v1.4.2
Kit de connexion ADSL
K-Lite Codec Pack 2.34 Full
KM400/KN400 Display Driver and Utilities
L&H TTS3000 Français
Launch Manager
Learn2 Player (Uninstall Only)
Macromedia Shockwave Player
Maxi Puzzles
Micro Application - Cartes de visite 2002
Micro Application - MediaDICO 12
Microsoft Office 2000 Premium
MicroStaff WINASPI
Mise à jour de sécurité pour Windows XP (KB883939)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899588)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB903235)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB896727)
Mise à jour pour Windows XP (KB898461)
Mozilla Firefox (1.0.6)
MSN Messenger 7.5
Nero Suite
NTI CD & DVD-Maker 6.5 Gold  
Photo et imagerie HP 2.0 - All-in-One
Photo et imagerie HP 2.0 - All-in-One Pilote
Photo et imagerie HP 2.0 - hp psc 1200 series
Pinnacle Hollywood FX 4.6
RealPlayer Basic
Realtek AC'97 Audio
S3 S3Display
S3 S3Gamma2
S3 S3Info2
S3 S3Overlay
SpywareBlaster v3.4
Studio 8
Super Patiences et Réussites 3
Synaptics Pointing Device Driver
Viewpoint Media Player
Winamp3 (remove only)
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows XP Service Pack 2

Posté le 15-10-2005 à 13:13:15  profilanswer

Toujours là avec le même nom....
Rien à désinstaller.
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Puis va sur ce SITE
Upload ce fichier : c:\windows\system32\fwbzvqucxi.exe  
Puis clique "Submit".
Deux minutes et il affiche ses résultats. Copie/colle les ici.
En dernier ressort on utilisera Ewido.

Posté le 15-10-2005 à 16:00:46  profilanswer

Alors j'avais bien déja "afficher dossiers cachés" coché et "masquer extensions " décoché.Pourtant :c:\windows\system32\fwbzvqucxi.exe
est impossible à trouver...j'ai donc écrit ce lien sur ton site et voici le résultat:(merci encore!)
 Service load:    
0%        100%
File:  fwbzvqucxi.exe
MD5  2c3d8134ea39d5b1e9916a0da9407808
Packers detected:  
Scanner results
Found nothing
Found nothing
Found nothing
AVG Antivirus  
Found nothing
Found nothing
Found nothing
Found nothing
F-Prot Antivirus  
Found nothing
Found nothing
Kaspersky Anti-Virus  
Found not-a-virus:AdWare.NaviPromo.g
Found Win32/Adware.NaviPromo application
Norman Virus Control  
Found nothing
Found nothing
Found nothing

Posté le 16-10-2005 à 10:34:33  profilanswer

Salut Acrobaze:si tu passes sur le forum aujourd'hui mon post juste au dessus contient les logs demandés.Je voulais aussi te demander:
 - Spybot redétecte Magiccontrol.agent que je croyais parti :
valeur du registre mentionnée est :
 -Y a til elon toi un lien avec ce fameux :
c:\windows\system32\fwbzvqucxi.exe   ???

Posté le 16-10-2005 à 10:50:22  profilanswer

Franchement, je ne sais pas s'il y a un rapport.
Par contre, c'est pratiquement certain qu'il y en a un entre ce fichier et les popups.
Redémarre en mode sans échec et supprime manuellement le fichier :
vide la corbeille.
Redémarre en mode normal, relance SilentRunners et vois si le fichier a été recréé.

Posté le 16-10-2005 à 13:39:21  profilanswer

Voila j'ai enlevé en mode sans echec 4 fichiers fwbzvqucxi....dont le fameux c:\windows\system32\fwbzvqucxi.exe .Voila le nouveau log silent runners:
"Silent Runners.vbs", revision 41,
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [null data]
"WINSOS VERIFY" = ""C:\Program Files\WINSOS\WINSOS.EXE" MINI" [file not found]
"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE" ["Dritek System Inc."]
"NWEReboot" = (empty string)
"RealTray" = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"WinampAgent" = ""C:\Program Files\Winamp3\winampa.exe"" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [file not found]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"ndpbckzxy" = "c:\windows\system32\ndpbckzxy.exe -start" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
Active Desktop and Wallpaper:
Active Desktop is disabled at this entry:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\popo\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Startup items in "popo" & "All Users" startup folders:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Enabled Scheduled Tasks:
"FRU Task #Hewlett-Packard#hp psc 1200 series#1099565548" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1099565548"" [empty string]
Winsock2 Service Provider DLLs:
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msjava.dll" [MS]
"ButtonText" = "Organise-notes"
"ButtonText" = ""
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=
[Strings]: SAFESITE_VALUE=""
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Print Monitors:
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 38 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
  took 11 seconds.
---------- (total run time: 73 seconds)

Posté le 16-10-2005 à 13:46:11  profilanswer

Ok. Il en a recréé un :
"ndpbckzxy" = "c:\windows\system32\ndpbckzxy.exe -start" [null data]  
Télécharge la version d'évaluation d'Ewido :ICI.
- Installe-le (au moment de l'installation, décoche les options : gardien d'arrière plan etc..)
- Mets-le à jour.
Redémarre en mode sans échec.
- Lance un scan complet du système.
- Supprime tout ce qu'il trouvera (il te demandera au premier fichier trouvé, coche la case "Même action pour tous les fichiers"...)
- Sauve son rapport final.
Repart en mode normal et copie/colle ce rapport.

Posté le 16-10-2005 à 20:43:55  profilanswer

Encore moi:j'ai suivi pas à pas les étapes,voici le log (19 objets néfastes je crois).Je lirai ta réponse prochaine mais n'aurait plus accés à cet ordi pendant qqes temps donc j'attends qd meme ta réponse et reviedrai sur le forum s'il faut encore faire qqe chose.En tout cas merci encore pour tout!
 ewido security suite - Rapport de scan
 + Créé le:  20:04:00, 16/10/2005
 + Somme de contrôle: BBAB16F6
 + Résultats du scan:
 HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{26D73573-F1B3-48C9-A989-E6CE071957A1} -> Dialer.Generic : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/EGDACCESS_1057.dll\\.Owner -> Dialer.Generic : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/EGDACCESS_1057.dll\\{26D73573-F1B3-48C9-A989-E6CE071957A1} -> Dialer.Generic : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/netslv32.dll\\.Owner -> Dialer.Generic : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/netslv32.dll\\{F72BC3F0-6C20-4793-9DDA-258589D8A907} -> Dialer.Generic : Nettoyer et sauvegarder
 C:\WINDOWS\system32\msclock32.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP1\A0000012.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP1\A0000023.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP1\A0000034.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000078.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000083.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000097.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000113.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000123.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000157.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000177.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000189.dll -> Dialer.Generic : Nettoyer et sauvegarder
 C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000204.dll -> Dialer.Generic : Nettoyer et sauvegarder
::Fin du rapport

Posté le 16-10-2005 à 20:47:08  profilanswer

Pas de trace de NaviPromo....
Supprime ce fichier pour voir:

Posté le   profilanswer

Aller à :
Ajouter une réponse
  Windows & Software

  magiccontrol agent :comment le supprimer???


Sujets relatifs
je n'arrive pas a supprimer un fichierSupprimer un dossier dans Windows Media Center ?
URGENT mauvais fichier supprimer!!!Rechercher des dossiers et les supprimer
si je vous dis magiccontrol.agent, popuper et winfixer ?Supprimer une entrée dans le multiboot de XP
Virus detecte par BitDefender et non supprimertroyen rdriv.sys décidément dur à supprimer pour les débutants en info
Domino : Aide pour fonction formula dans agent 
Plus de sujets relatifs à : magiccontrol agent :comment le supprimer???

Copyright © 1997-2022 SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR