petit rapport HijackThis a verifier

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : petit rapport HijackThis a verifier

Hamsterjovial

Logfile of HijackThis v1.98.2
Scan saved at 19:46:35, on 01/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\WINDOWS\System32\DSLAGENT.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\HijackThis\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://scheo.com/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2846032F-8EA0-4EFF-E13E-006290501796} - C:\WINDOWS\system32\ntlj32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: PowerReg Scheduler.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: Interface Chat Voila - http://chat15.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] owdown.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA79AF5B-92ED-4742-9229-7B47330996DB}: NameServer = 80.10.246.130 80.10.246.3
O19 - User stylesheet: (file missing)

Voila mon rapport, a savoir que si je le poste c'est qu'il m'arrive des miseres evidement
Les rejouissances sont : page web forcee lors de l'ouverture de IE ou recherche google (ajout d'une autre page), pccillin 9 qui a chaque ouverture d'une page IE m'indique qu'a cause de Trojan_Agent.EL (pas trouver via google etc celui la) il doit bloquer les fichiers suivants (fichiers non desires exemple :ipdb.exe,winxr32.exe heureusement mis en quarantaine car pccilin toujours en marche pendant que je surfe).

Comme solution j'ai essaye : CWShredder (premier lancement il trouve des trucs au deuxieme trouve rien).
Anti virus pccilling et panda en ligne, spyboot, webrootspy.

Voulant eviter de devoir reinstaller windows (snif snif) je me tourne vers vous en vous remerciant par avance de votre aide :-)

PS : Lors des essaies d'eradication j'ai fais le "truc" de desactiver la restauration etc mais pas de changement.
Le reste du pc fonctionne (ouff) notament jeux en ligne etc

Publicité

acrobaze

En fait, ton ordi est "multi-hacké", si l'on peut dire.

----------------------1
D'abord pour ça:
Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing

Télécharge LspFix sur:
http://www.spychecker.com/download [...] spfix.html

-Lance-le
-Coche "I know what I'm doing"
-Sans rien faire d'autre, clique "Finish".

Tu me diras si dans le panneau de droite, il y avait : 'xfire_lsp_8742.dll'

--------------------2

Ensuite, il faudrait la liste de tes services :

Télécharger ce petit programme qui nous donnera la liste
des services :

http://d21c.com/Tom41/get_active_services_179_161.zip

Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
------------

Ne supprime pas de lignes ou de fichiers en attendant, sinon, , ils vont se recréer sous d'autres noms.

Hamsterjovial

merci pour ta rapidité.
tout d'abord pour LSPfix oui il y avait bien la ligne dans la colone de droite (c'etait koi pour info ?)
ci dessous le rapport getactiveservices.

These are the Current Active Services:

AVERTISSEMENT: Alerter
C:\WINDOWS\System32\svchost.exe -k LocalService

ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService

ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
C:\WINDOWS\system32\svchost.exe -k LocalService

SERVICE DE DÉCOUVERTES SSDP: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService

WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService

AUDIO WINDOWS: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVICE DE TRANSFERT INTELLIGENT EN ARRIÈRE-PLAN: BITS
C:\WINDOWS\System32\svchost.exe -k netsvcs

EXPLORATEUR D'ORDINATEUR: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVICES DE CRYPTOGRAPHIE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs

CLIENT DHCP: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs

GESTIONNAIRE DE DISQUE LOGIQUE: dmserver
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVICE DE RAPPORT D'ERREURS: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs

SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs

COMPATIBILITÉ AVEC LE CHANGEMENT RAPIDE D'UTILISATEUR: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs

AIDE ET SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVEUR: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs

STATION DE TRAVAIL: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs

CONNEXIONS RÉSEAU: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs

NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs

GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs

PLANIFICATEUR DE TÂCHES: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs

CONNEXION SECONDAIRE: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs

NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs

DÉTECTION MATÉRIEL NOYAU: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVICE DE RESTAURATION SYSTÈME: srservice
C:\WINDOWS\System32\svchost.exe -k netsvcs

TÉLÉPHONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVICES TERMINAL SERVER: TermService
C:\WINDOWS\System32\svchost.exe -k netsvcs

THÈMES: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs

CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs

GESTIONNAIRE DE TÉLÉCHARGEMENT: uploadmgr
C:\WINDOWS\System32\svchost.exe -k netsvcs

HORLOGE WINDOWS: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs

INFRASTRUCTURE DE GESTION WINDOWS: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs

NUMÉRO DE SÉRIE DU MÉDIA PORTABLE: WmdmPmSp
C:\WINDOWS\System32\svchost.exe -k netsvcs

MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs

CONFIGURATION AUTOMATIQUE SANS FIL: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs

CLIENT DNS: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService

JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINDOWS\system32\services.exe

PLUG-AND-PLAY: PlugPlay
C:\WINDOWS\system32\services.exe

NVIDIA DISPLAY DRIVER SERVICE: NVSvc
C:\WINDOWS\System32\nvsvc32.exe

PC-CILLIN PERSONALFIREWALL: PCCPFW
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe

SERVICES IPSEC: PolicyAgent
C:\WINDOWS\System32\lsass.exe

EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINDOWS\system32\lsass.exe

GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINDOWS\system32\lsass.exe

APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss

SPOULEUR D'IMPRESSION: Spooler
C:\WINDOWS\system32\spoolsv.exe

TREND NT REALTIME SERVICE: Tmntsrv
"C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe"

acrobaze

Peut-être un reste de "XFire messnger".

---------------

On va se faire aider par un petit programme : About:Buster.
Tu le télécharges sur :
http://www.zerosrealm.com/index.php?page=dllfix
Et tu le laisses en attente sur ton bureau

et

Télécharge CoolWebSchredder sur:
http://www.lurkhere.com/~nicefiles/index.html
Laisse-le en attente sur ton bureau

------------------------
Redémarre en mode sans échec.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://scheo.com/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O2 - BHO: (no name) - {2846032F-8EA0-4EFF-E13E-006290501796} - C:\WINDOWS\system32\ntlj32.dll

Lance HijackThis. Coche ces lignes et clique "Fix checked".

Toujours en mode sans échec:
-Lance CoolWebSchredder (Fix->next)
-Lance About:Buster 2 fois de suite.

-----------------

Redémarre et poste un nouvel HijackThis.

Hamsterjovial

oki merci je le fais et je te tiens au courant, pour infos xfire n'est pas un virus mais un logiciel comme alleyeseeing pour retrouver des serveurs de jeu en reseau etc (je dis cela car tu me parlais de xfire ki pouvait poser probleme) ou alors c'etait un logiciel verolle grr
bon je fais comme indique dans ton post et je reviens

Hamsterjovial

resultat des operations:
Logfile of HijackThis v1.98.2
Scan saved at 22:49:09, on 01/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\WINDOWS\System32\DSLAGENT.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\HijackThis\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: PowerReg Scheduler.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: Interface Chat Voila - http://chat15.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] owdown.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA79AF5B-92ED-4742-9229-7B47330996DB}: NameServer = 80.10.246.130 80.10.246.3
O19 - User stylesheet: (file missing)

+rapport de aboutbuster : 3key enleve la premiere fois puis 0 lors du second lancement.

Pour poster ce message j'ai donc fais comme d'habitude niveau connexion logiciel en cours (msn etc) et je n'ai plus les messages habituels de pcciling sur le trojan et pop "only best" disparu apparament et ok.
Par contre webroot spy m'a mis une alerte en me disant :
Processing Startup Alerts
Startup entry: KernelFaultCheck (en gros nouveau programme au demarrage (inconnu) tente quelquechose de pas clair.
"kernelfaultcheck" apparament, j'ai demande a spy de le removed car je ne vois pas ce que c'est (j'ai rien installe entre le mode sans echec et maintenant a part les programmes que tu m'avais indique evidement).

Hamsterjovial

Merci a toi Acrobaze pour m'avoir si rapidement aidé car apparament ca fonctionne très bien !
Bravo pour le serieux

acrobaze

Alors je te le dis tout de suite...ce n'est pas "guéri"... :sweat:

Simplement tu ne le vois pas.

Tant qu'il y a ces lignes: C:\WINDOWS\qhoti.dll/sp.html#37049
ça signifie qu'il y a une dll qui pollue IE et que donc elle a été créée quelque part.
Si tu repases About:Buster, je suis sûr qu'il retrouvera quelque chose.

Télécharge "FINDnFIX" sur:
http://downloads.subratam.org/FINDnFIX.exe
Double-clique le, il va se décompresser dans un dossier c:\FINDnFIX
Là, double clique "!LOG!.bat
Il va rechercher qq instants, puis à la fin, un fichier Log.txt est généré.
Poste le contenu de ce txt, stp.

Hamsterjovial

ah pourtant ya pas signe exterieur, la page de demarrage ne change pas, la page recherche via google ne delire pas, no popup.
Cette ligne j'aurais pu la fixer avec hijack non? (elle y ai dans le rapport).

Thu 02 Sep 04 20:19:16

»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»

*System:
Microsoft Windows XP Professional 5.1 Service Pack 1 (Build 2600)
*IE version:
6.0.2800.1106 SP1-Q810847

MS-DOS Version 5.00.500

*command.com test passed!

__________________________________
!!*Creating backups...!!

The operation completed successfully
20:19:15,88 02/09/2004
__________________________________

*Local time:
jeudi 2 septembre 2004 (02/09/2004)
20:19, Paris, Madrid (heure d'été)
*Uptime:
20:19:18 up 0 days, 1:44:23

*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)

User is a member of group WORKSTATION\Aucun.
User is a member of group \Tout le monde.
User is a member of group BUILTIN\Administrateurs.
User is a member of group BUILTIN\Utilisateurs.
User is a member of group \LOCAL.
User is a member of group AUTORITE NT\INTERACTIF.
User is a member of group AUTORITE NT\Utilisateurs authentifiés.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

User: [WORKSTATION\YANNICK], is a member of:

BUILTIN\Administrateurs
WORKSTATION\Aucun

Running in WORKSTATION MODE.

SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is WORKSTATION
Administrator's Name is YANNICK
Computer Name is WORKSTATION
LOGON SERVER is \\WORKSTATION

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...

»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL

791. Nvwddi Dll 35,840 . . . . A 2-04-04 11:37 am

____________________________________________________________________________
*By size and date...

No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

BHO search and other files...

No matches found.

No matches found.

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 398

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value does not exist
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

No differences found.

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Utilisateurs
(IO) ALLOW Read BUILTIN\Utilisateurs
(NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access BUILTIN\Administrateurs
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access CREATEUR PROPRIETAIRE

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Read BUILTIN\Utilisateurs avec pouvoir
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM

»»Performing string scan....
00001150: ?
00001190: P vk UDeviceNo
000011D0:tSelectedTimeout 1 5 ( W vk ' z
00001210:GDIProcessHandleQuota" 9 0 | vk X
00001250:Spooler2 y e s hd vk =pswapdisk
00001290: 8 h vk ( R TransmissionRetryTimeout
000012D0: vk ' 3 USERProcessHandleQuotau! 8
00001310:h E P } } } \ ; E PWW u j
00001350: ; 9} tc E ; u t P Q M Qh t } V ; M Q
00001390: P ; |q E U R u u P Q0 ; |X u u@ E ; t P Q
000013D0:K E P u } P P T ; | u E P 15 9} @ 3 9} u
00001410: 5 E ; t P Q E ; t P Q E ; t P Q _ ^[ D$ u W
00001450:G V t$ Wt J u) $B t T tj Y3 u L$ t Q P 3
00001490: @ _^ L$ t$ P U QQ e e V W M Q P |> }
000014D0: u > E t P Q N e U R P | E u P Q E
00001510:t P Q E t P Q _^ U QQS ] V3 f93W u ] t E P
00001550: Yt E E f 8 u u t Y E f f=+ t f=- u 3 f=+
00001590: E L M u H t E E Y f .t FFf f u f > tl 0Z t
000015D0:3 FFf f tvf=0 r0f=9 w* }% 0 E AF E F3

---------- WIN.TXT
--------------
--------------
$011C7: UDeviceNotSelectedTimeout
$0120F: zGDIProcessHandleQuota
$012B8: TransmissionRetryTimeout
$012E8: USERProcessHandleQuotau
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

.............
-----------------------

»»»»»»Backups list...»»»»»»
20:21:45 up 0 days, 1:46:50
-----------------------
Thu 02 Sep 04 20:21:45

C:\FINDNFIX\
keyback.hiv Thu 2 Sep 2004 20:19:16 A.... 8 192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8 192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Thu 2 Sep 2004 20:19:18 A.... 268 0,26 K

1 item found: 1 file, 0 directories.
Total of file sizes: 268 bytes 0,26 K

*Temp backups...

"C:\Documents and Settings\YANNICK\Local Settings\Temp\Backs2\"
keyback2.hi_ 2 Sep 2004 8192 "keyback2.hi_"
winkey2.re_ 2 Sep 2004 268 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8 460 bytes 8,26 K
-D---- JUNKXXX 00000000 20:19.16 02/09/2004
A----- STARTIT .BAT 00000060 20:19.16 02/09/2004

________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Thu 02 Sep 04 20:21:46

acrobaze

Bon, bon, bon...:lol: pas de service caché..pas de dll cachée...

On va aller au plus simple:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R3 - Default URLSearchHook is missing

Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
--------
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

Vérifie que :
C:\WINDOWS\qhoti.dll
est bien supprimée.

Si elle est toujours présente, la supprimer, au besoin en mode sans échec.

-------------
Mais on avait déjà fixé ces lignes au premier coup, non?

Publicité

Hamsterjovial

lol non pas celle la justement, ca m'avait etonné car je ne connaissais pas ce service mais je voulais pas la ramener vu mes petites connaissances je te tiens au courant apres les modifs faites!

PDT

いらしえいいいいいい

Message édité par PDT le 02-09-2004 à 22:51:30

Hamsterjovial

heu pour ma culture ca faisait quoi comme analyse le Findfix?

Hamsterjovial

heu heu je pense que tu devrais en faire un autre topic car la ca va etre trop fouilli non

acrobaze

Hamsterjovial a écrit :

heu pour ma culture ca faisait quoi comme analyse le Findfix?

Il "sniffe" :whistle: les dll suspectes:

Citation :

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

Mais là, donc, il n'y en a pas.

Hamsterjovial

oki merci ! bon je ferais les modifs demain concernant la derniere ligne suspecte
je vais tomber amoureux d'acrobaze a force lolllllllllllllll

Merci encore sincerement !

PDT

いらしえいいいいいい

Bon j'ai édité mon message. Quand tu as bien fait le ménage sur ton pc dis le moi que je poste mon truc. Acrobaze t'en vas pas torp loin

Hamsterjovial

lol pdt lol !

Hamsterjovial

bon j'ai refais un log hijack et il n'y avait plus trace de ces lignes, il y avait tj par contre en fichier cache le .dll que j'ai donc efface a la main (mode sans echec) apres plus reboot et connexion pas de retour de ce michant dll

a toi pdt! lol

acrobaze

hamsterjovial a écrit :

Oufffff!!!!! :lol:

A+! :hello:

Hamsterjovial

victory ! encore merci

PDT

いらしえいいいいいい

Bon ben je me lance :

Logfile of HijackThis v1.97.7
Scan saved at 12:22:17, on 05/09/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Antivirus Avast4\aswUpdSv.exe
E:\Program Files\Antivirus Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\WANADOO\CnxMon.exe
E:\PROGRA~1\ANTIVI~1\ashDisp.exe
E:\PROGRA~1\ANTIVI~1\ashmaisv.exe
E:\Program Files\Webcam\LogiTray.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
E:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\WINDOWS\System32\LVComS.exe
E:\Program Files\Webcam\LowLight.exe
E:\Program Files\Mozilla -Firefox\firefox.exe
E:\Program Files\Ahead Nero\Nero\nero.exe
C:\WINDOWS\System32\imapi.exe
E:\Remy\Pilotes ou programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://classic.zone.msn.com/ashero [...] aunch2.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstBoot.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] E:\PROGRA~1\ANTIVI~1\ashmaisv.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd32.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] E:\Program Files\Webcam\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] E:\Program Files\Webcam\LogiTray.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd32.exe
O4 - HKCU\..\Run: [IncrediMail] E:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd32.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b27571.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b27571.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 1546180556
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4176D154-49AC-4F69-828B-EECE82D216C6}: NameServer = 80.10.246.130 80.10.246.3

Merci aux personnes qui jeteront un coup d'oeil :jap:

acrobaze

O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd32.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd32.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".

----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

Et supprime:
wuamgrd32.exe
C:\Program Files\Fichiers communs\GMT<-dossier
(Si présents, car ils ne sont pas dans les processus)

-----------
Quel est le pb, exactement?

La page "classic.zone.msn" est-elle choisie?

PDT

いらしえいいいいいい

Pas de problème particulier juste un nettoyage de fin d'été comme je laisse le pc à mes parents pendant 4 mois j'aurais aimé qu'il soit bien bien. Ou la page d'accueil est voulue(en fait ma page firefox est différente).

Bon je lance le truc et te tiens au courant

acrobaze

Voilà, c'est pour ça. L'ordi ne semble pas poser de pb.
A part ces 2/3 lignes, mais je pense que ça a déjà été nettoyé et que ce sont juste des traces ds la bdr.

minipouss

un mini mini

O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstBoot.exe ça ne te parait pas bizarre celle-là?

acrobaze

Si, mais c'est un composant des cartes Hercules, parait-il. Mais un trojan a ce nom-là.
Et il n'est pas dans les processus.

minipouss

un mini mini

donc on peut nettoyer la base de registre

acrobaze

minipouss a écrit :

donc on peut nettoyer la base de registre

:lol: Tout à fait!

Donc, rajoute cette ligne à la liste à cocher, pdt! :hello:

O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstBoot.exe

Publicité

FORUM HardWare.fr

Windows & Software

Sécurité

petit rapport HijackThis a verifier

Sujets relatifs
Outlook Express et son f*ckin' rapport d'erreure	aide pour un log HijackThis siouplait
un petit problème avec hotmail	probleme avec explorer.exe trop gourmand (100% de uc) rapport HijackTh
petit pb pr l'affichage des dossiers de windows	Un petit truc sur Word
cherche petit prog pour reduire dans appli actives	[mySQL//phpMyAdmin] Quel herbergeur pour un petit site de PME ?
Comment vérifier que je suis bien en USB 2.0	hijackthis : peut-il virer Exploit/ByteVerify ?
Plus de sujets relatifs à : petit rapport HijackThis a verifier

Page générée en 0.065 secondes