Thanos

Mon observateur d'événements me rapporte aussi des erreurs qui ne posent pas de problème particulier! Ton rapport hijackthis est propre et celui de silentrunners ne présente pas d'infection.Tu n'as aucun problème pour utiliser le pc (ralentissements) et faire fonctionner internet, c'est une bonne chose. Par contre si tu recois à nouveau le message "l'application ne repond pas", on peut tenter autre chose: Le programme Alcohol 120 provoque parfois un crash d'explorer.Dans ce cas il faudras désinstaller l'application (et nettoyer le registre avec EasyCleaner)et voir si ca résoud le problème.Manifestement cette dll est en cause: AXShlEx.dll Si tu as d'autres questions , n'hésite pas.

Dais moi, as tu toujours un problème de plantage avec explorer et le message "l application ne repond pas"qui s'affiche?

jeje ,ne supprime rien avec Ewido , poste juste le rapport! On verra ce que l'on peut effacer en refaisant le scan par la suite.

Est ce que tu as fais ceci => Outils=>Options internet=>Programmes=>Rétablir les Paramètres web,puis tu valides. Parviens tu à afficher apres ca (je sais pas si tu a vu la réponse plus haut, sinon n'en tiens pas compte!!) Ton rapport ne comporte plus rien d'infectieux. Cependant pour être sûr que rien de pourri n'a été laissé sur le pc, fais ceci: -Télécharge Clean Up 40:(pour virer tous les fichiers temporaires) http://www.stevengould.org/software/cleanup/ -Exécute Cleanup40(en mode sans échec comme pour Ewido) -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm Je te fais bosser , mais ca assainir le pc!

salut Jack,Serguei Et si on tenter de les déterrer? Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) => http://www.bleepingcomputer.com/files/misc/regsearch.zip - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle webdlg32.inf dans la première ligne de la zone de recherche - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel. Recommence avec ysbactivex.inf Poste les rapports ca nous permettras de voir si Panda délire

salut Richard1 et bienvenue Merci pour l'info qui va nous être utile pour l'analyse des logs hiajckthis! Un grand merci à Merijn pour son super boulot Et merci bien sûr à notre gourou ipl!

herge, j'aimerai m'assurer d'une chose. Vas s'il te plait voir dans Panneau de configuration=>Performances et maintenance=> Outils d'administration .Dans l'Observateur d'Evenement ,jette un oeil dans Application et Systeme voir si une icone rouge(erreur ) n'apparait pas! Et lis le message qui va avec en double cliquant sur les événements. Dis moi ce que tu vois

je regarde ton rapport d'ici 30 mn, je vais manger Tu n'as pas répondu à ma question=>As tu déjà vu ce message d'erreur?

salut hergé As tu déjà recu un message d'erreur de ce type?=>

salut MPHB Ca ne correspond ps du tout à ce que j'ai!Une petite capture d'image serait la bienvenue à l'occasion! Quoiqu'il en soit tu peux fixer les lignes 06! on les remettra en place si besoin est.Est ce que tu as jeté un oeil sur le tutorial pour configurer Spybot? => http://www.zebulon.fr/articles/spybot_1.php Lance quand même le scan en ligne,voir si tout est propre ou pour voir ce qui se cache!

re marwa Une solution possible , que me suggère mégataupe:restaurer la version originale de ton fichier Hosts=> Télécharge: Hoster http://www.funkytoad.com/hoster.htm Enregistre le sur le bureau et dézippe le dans un dossier. Une fois l'utilitaire lancé, clique sur la case "Restore original Hosts" . Regarde la capture d'image sur le site de Funkytoad si tu as un doute.Ensuite quitte le programme et va chercher le fichier "hosts" ici: c:\windows\system32\drivers\etc\ Mets le en lecture seule (clic droit sur le fichier hosts/propriétés puis cocher lecture seule) Redémarre le PC. Merci à mégataupe

re marwa Est ce que tu as essayé de refaire ta conection manuellement?

salut joly-bibi,Jack Allez un petit ajout comme tu n'en a pas déjà assez => Si tu veux toujours utiliser IE! : -=> E-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux) Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg: les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! ) https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD Ca c'est au cas ou tu veux naviguer un peu plus tranquillement avec IE

salut lau123 Si j'étais toi je laisserai tomber le firewall du sp2! Intalle plutôt kério ou ZA!

j'ai oublié de préciser ceci jeje: Pour pouvoir faire ceci passe par Démarrer=>Exécuter=>tapes cmd dans la fenêtre et valides. Puis tu tapes les commandes citées plus haut. Un message doit t'avertir du succès de l'opération. Je pense que tu aura rectifié par toi même pour l'avoir déjà fait plus tôt! Mes excuses! ---édition ipl_001 : sans le tiret devant le SC Edit: oh làlà oui!!! salut ipl et merci de préciser quel ques fois j'ajoute des tirets pour clarifier la présentation: le problème c'est que le moindre signe ajouté change tout!! Désolé, jeje sans les tirets donc!

Excuse moi marwa, j'ai pas mal buggé: j'ai changé de souris et elle bloque(souris sans fils ) Tu n'as pas du voir le message que j'ai édité! Je parlais de sauvegarder la clé que l'on allais modifier, pour pouvoir la restaurer si la modification posait problème.Si tu as besoin d'infos n'hésite pas

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Vas dans Démarrer/Exécuter. Tapes services.msc dans la fenêtre. Cherche ce service=>System Manager Service Double clic dessus. Mets le service sur "arrêté"(dans l'onglet"status du service"),puis dans l'onglet "Type de démarrage"=>désactivé. Fais pareil avec les services suivants: - Enables Java Support . -BitDefender Communicator (XCOMM) -Norman API-hooking helper (NipSvc) -BitDefender Scan Server (bdss) Puis tu ferme tout et tu fais ceci: -sc delete Enables Java Support -sc delete System Manager Service( ou SMSC si ca ne marche pas) -sc delete BitDefender Communicator -sc delete Norman API-hooking helper -sc delete BitDefender Scan Server Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant: -BitDefender -Norman Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes : O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe (file missing) O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe Ferme toutes les fenêtres, tous les programmes et clique surFix checked -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\WINDOWS\smsc.exe=> le fichier -C:\WINDOWS\System32\winjava.exe=> le fichier -C:\Program Files\Fichiers communs\Softwin=>le dossier -C:\Norman=>le dossier -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification. Si ca ne marche pas on tentera autre chose.

salut jeje58 J'analyse ton rapport En ce qui concerne ton problème avec internet fais ceci=> Outils=>Options internet=>Programmes=>Rétablir les Paramètres web,puis tu valides.

salut marwa,Jack On va tenter quelque chose pour virer cette ligne: -Commencons par sauvegarder la clé qu'on va modifier ,pour pouvoir la restaurer en cas de soucis: Fais "Démarrer/Exécuter"=>tapes regedit puis valides. Vas jusqu'à HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings Clique une fois sur la clé "Internet Settings"=>vas dans l'onglet "Fichiers" tout en haut à gauche.Clique sur "Exporter",une fenêtre "exporter une clé du registre" s'ouvre: Dans la fenêtre "Enregistrer dans",choisis l'endroit ou tu vas sauvegarder cette clé. Une fois ceci fait,va dans le champs "Nom de fichier" et donne un nom explicite à la clé que tu sauvegardes,"changeproxy" par exemple! Une fois ceci fait appuie sur "enregistrer". Maintenant seulement tentons juste ceci : Va dans le panneau de droite à la valeur suivante: ProxyEnable,clique double clique sur la valeur et change sa valeur de 1 à 0,valide. La valeur se présente comme ca maintenant : 0*00000000 (0) Redémarre hijackthis, coche et fixe la ligne(en mode sans échec): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 208.60.169.22:80 Redémarre en mode normal et constate si la ligne à disparu. édit:désolé,nouveau clavier,ca édite à tout va

salut herge38 ,ton rapport n'est pas complet! Tu enregistre le fichier zip au format vbs sur le bureau:puis tu crée un dossier pour silentrunners, tu dézippe Silent Runners.zip dans ce dossier; puis tu ouvre le dossier et tu double cliques su ce fichier=>il va t'être demandé si tu veux effectuer les recherches supplémentaires: tu réponds oui . Un message t'avertis que le rapport est sauvegardé dans le dossier que tu as crée. Poste le rapport. Par ailleurs tres important: jette un oeil voir si cette daube est toujours présente: C:\WINDOWS\system32\msclock32.dll Lance une recherche sur le DD si tu ne trouves pas!

salut marwa J'imagine que tu n'utilise pas un serveur proxy?? ca m'étonnerais que ce soit celui de ton FAI! L'IP 208.60.169.22:80 renvoie à l'adresse suivante=> OrgName: BellSouth.net Inc. OrgID: BELL Address: 575 Morosgo Drive City: Atlanta StateProv: GA PostalCode: 30324 Country: US Tu est bien localisé au Maroc? Peut être serait il bon d'effacer cette adresse! Tu pourrais agir directement sur la base de registre: Vas trouver la clé suivante: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings en cliquant à gauche de la clé" Internet Settings",dans les sous clés qui apparaissent, y en a t'il une qui se nomme "ProxyServer"? Maintenant toujours à la même adresse ,si tu cliques sur la clé "Internet Settings", dans le panneau de droite, plusieurs valeurs s'affichent: quelle est la valeur de => ProxyEnable? 0*00000000(0) ou 0*00000000(1)? On peut tenter de modifier une valeur pour se débarrasser de cette ligne dans ton log! Jette un oeil sans rien effacer(il faut toujours sauvegarder une clé avant de la modifier ou l'effacer) et tiens nous au courant

salut joly-bibi Tu est infecté par hotbar! -Télécharge Clean Up 40: http://www.stevengould.org/software/cleanup/ -Télécharge Fixhotbar.exe -Télécharge EasyCleaner http://personal.inet.fi/business/toniarts/files/EClea2_0.exe redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers. Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant: -ShopperReports -Hotbar et tous ce qui y ressemble. Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes : R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Servi...omeLeftPane.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.8.0\ShprRprt.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.7.1.0\HbtOEAddOn.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.8.0\ShprRprt.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.8.0\ShprRprt.dll Ferme toutes les fenêtres, tous les programmes et clique surFix checked -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\Program Files\ShopperReports -C:\Program Files\HbTools -Exécute Fixhotbar.exe -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. -Exécute Cleanup40 -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

Ton pc est infecté par"Vundo"(entre autres):on va procéder en plusieurs étapes, y a du boulot!=> Imprime ces instructions pour les utiliser en mode sans échec(sans prise en charge du réseau): Préparation : Télécharge VundoFix.exe sur le bureau: http://www.atribune.org/downloads/VundoFix.exe * Cela va créer un dossier VundoFix sur le bureau. * Après l'extraction des fichiers redémarre en mode sans échec en tapotant F8 au démarrage Désinfection * En mode sans échec ouvre le dossier VundoFix et doubleclick sur KillVundo.bat * Tu seras averti d'une listes de forums susceptibles de t'aider ressemblant à ça: - A ce moment appuie sur Entrée. - Ensuite tu verras: . -A ce moment entre exactement le chemin complet des fichiers suivants: C:\WINDOWS\ServicePackFiles\i386\msexp.dll Ensuite appuie sur Entrée, puis F6, puis valide à nouveau pour continuer avec le fix. - Ensuite tu verras: -A ce moment entre exactement le chemin complet des fichiers suivants: C:\WINDOWS\ServicePackFiles\i386\pxesm.* -Valide puis appuie sur F6, puis entrée pour continuer le fix. -Lance Hijackthis en gardant le fix ouvert. -Dans HijackThis, coche les entrées suivantes et clique sur FIX CHECKED: O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\ServicePackFiles\i386\msexp.dll O20 - Winlogon Notify: msexp - C:\WINDOWS\ServicePackFiles\i386\msexp.dll * Après avoir fixé ces items, ferme Hijackthis et appuie sur une touche pour que l'ordinateur redémarre. * En appuyant sur une touche provoque "Blue Screen of Death" c'est normal, ne t'en fais pas! redémarre en mode normal et poste un nouveau rapport HijackThis. Une petite question:est ce toi qui a ajouté ces sites dans tes sites de confiances,les connais tu?=> O15 - Trusted Zone: http://www.plentyoffish.com O15 - Trusted Zone: http://www.radio-canada.ca

salut medeacesar Je vais lancer ton analyse,réponse dans un instant.

-Télécharge SpyBot-Search & Destroy http://www.safer-networking.org/fr/download/index.html Son tuto http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php Puisque tu ne peux pas avoir accès à internet télécharge aussi "Detection updates 2005-10-07" -Télécharge EasyCleaner http://personal.inet.fi/business/toniarts/files/EClea2_0.exe -télécharge LQFix: http://www.downloads.subratam.org/LQfix.zip -télécharges ce fichier : SpSeHjfix http://www.derbilk.de/cms/_data/SpSeHjfix112.zip tu le dézippe dans un répertoire . Redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers. .-vas dans le menu démarrer executer et tu tapes : cmd dans la boite de dialogue qui s'ouvre, tu tapes : -sc stop Enables Java Support -sc stop System Manager Service( ou SMSC si ca ne marche pas) -sc stop Srv32 -sc stop WindowsSysBoot -sc delete Enables Java Support -sc delete System Manager Service( ou SMSC si ca ne marche pas) -sc delete WindowsSysBoot Exécute SpSeHjfix tu cliques sur "Start disinfection". En cas d'infection le pc sera redémarré. (en mode sans échec toujours) Démarre Hijackthis Do a system scan only, et coche les lignes suivantes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\geebb.dll O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe O4 - HKLM\..\Run: [Microsoft Command Line] wincmd.exe O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe O4 - HKLM\..\Run: [Compaq Service Drivers] ntsys32.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Alive SYstem] C:\WINDOWS\System32\scchost.exe O4 - HKLM\..\Run: [intec Drivers32] intec32.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe O4 - HKLM\..\RunServices: [winservit] cassl.exe O4 - HKLM\..\RunServices: [Microsoft Command Line] wincmd.exe O4 - HKLM\..\RunServices: [Compaq Service Drivers] ntsys32.exe O4 - HKLM\..\RunServices: [intec Drivers32] intec32.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1110011101843 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O20 - Winlogon Notify: geebb - C:\WINDOWS\System32\geebb.dll O21 - SSODL: mtklef - {513C4D34-A949-4CA8-D7B2-43097C8341EA} - (no file) O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe (file missing) O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing) O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing) O23 - Service: WindowsSysBoot - Unknown owner - C:\WINDOWS\winsys.exe Clique surFix checked -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : Dans C:\WINDOWS\System32 probablement(lance une recherche si tu ne trouves pas)=> -snlogsvc.exe -wincmd.exe -ntsys32.exe -intec32.exe -msmq2inst.exe -cassl.exe -ntsys32.exe -intec32.exe -C:\WINDOWS\System32\explorer.exe=> le fichier -C:\WINDOWS\System32\geebb.dll=> le fichier -C:\WINDOWS\System32\scchost.exe=> le fichier -C:\WINDOWS\System32\winjava.exe=> le fichier -C:\WINDOWS\system32\srv32.exe=> le fichier -C:\WINDOWS\smsc.exe=> le fichier -C:\WINDOWS\winsys.exe=> le fichier -Exécute LQFix. -Lance Spybot,lance sa mise à jour,et vire tout ce qu'il trouve -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.