SANDRA88
-
Compteur de contenus
17 -
Inscription
-
Dernière visite
Type de contenu
Profils
Forums
Blogs
Messages posté(e)s par SANDRA88
-
-
Bonjour Sandra
Ok, les services avec fichiers dans Temp ont disparu, donc il s'agissait probablement de services temporaires créés par RootkitRevealer - pas inquiétants ceux-là.
Petite explication des fichiers .tmp que tu retrouves dans le dossier Temp :
- Ce sont des fichiers créés par les applications qui tournent sur nos ordis en utilisation normale, et ne peuvent être "lus" normalement. Par exemple, mon logiciel d'imprimante s'en ouvre quelques uns à chaque fois que je démarre la bécane.
- Lorsqu'on tente "d'ouvrir" ces fichiers, Windows ne peut pas, et nous demande de choisir un programme qui pourrait nous permettre de les lire. Une liste de programmes s'affiche, et tu peux choisir : Word, Bloc Notes, Adobe Reader (Acrobat), etc... Si tu as déjà choisi Acrobat et que tu as coché "Toujours utiliser ce programme pour ouvrir ce type de fichier", ben ce sera Adobe qui se lancera à chaque fois que tu tentes d'ouvrir un fichier .tmp, alors qu'il ne s'agit pas du tout d'un fichier Acrobat..
- Exemple : sur ma bécane, présentement, j'ai quelques fichiers .tmp bizarres, et voici un aperçu du contenu de l'un d'eux (~DF5E2E.tmp) quand je l'ouvre avec le Bloc Notes :
...illisible, mais c'est normal, car ce type de fichier n'est utilisé que par le système. J'ai lancé Adobe Reader en même temps, juste pour voir, et j'ai vu une bonne douzaine de fichiers temporaires se créer (dans le dossier Temp), puis disparaître rapidement dès que j'ai fermé Adobe Reader.
Pour ce qui est de ces fichiers non lisibles, et ceux qui apparaîssent et disparaîssent rapidement, je crois que ce sont des fichiers temporaires "normaux". Si tu veux valider mon hypothèse, alors va regarder dans le dossier Temp, mais ferme tous les programmes en cours, et déconnecte-toi de l'internet ; il ne devrait y avoir aucune activité. Même chose quand tu scannes chez Trend ou avec RootkitRevealer : ferme tout et n'utilise aucun programme durant les scans, sinon les rapports seront brouillés.
Comme dernière internvention de ma part, je vais te désactiver ces services qui n'affichent pas de fichiers. Je dois filer pour quelques heures, donc suite très bientôt.
@ + tard !
Je pense que nous allons en rester là : insoluble !
Non, je n'ai pas forcément de trucs ouverts pour des créations de fichiers..
pour double click, il est plus dangereux que tu sembles ne le dire (lire en dessous)
J'ai des dysfonctionnement nouveaux qui m'empêchent de travailler sur mes photos d'écran (pour envoyer au Procureur...). Je dois recharger adobe photoshop tous les deux jours ! Jamais eu cela avant.
Je bats en retraite : nous avons tous perdu notre temps, avec des rapports où il n'y a rien à trouver, il faut voir les choses pour les analyser. L'écrire est difficile à gérer, d'autant que je ne suis pas experte en informatique. Je vous signale aussi que j'accéde de plus en plus difficilement à cette page..., comme pour les autres sites.
finalement, tout cela est normal si j'en crois mes derniéres lectures sur les logiciels espions. Je vous envoie un extrait de quelques articles qui relatent en partie, ce que je subis et endure .
merci pour votre participation à tous et le temps que vous avez consacré à m'aider, je vous dirai la suite dans quelques temps car je vais garder le disque dur pour analyse, et le remplacer.
Les key loggers
Magic Lantern
Bientôt le FBI pourra pénétrer dans votre ordinateur
Orwell avait vu juste. Bientôt, le FBI pourra pénétrer — en toute impunité — dans l'intimité de votre ordinateur pour y consulter tout ce qu'il contient... à distance et sans laisser de trace.
Le virus/ver — nom de code: Magic Lantern — est basé sur une technique de surveillance appelée espion de clavier (keylogger). Elle permet de détecter chacune des touches tapées par l'utilisateur. Son opérateur enregistre la séquence de tout mot de passe et décrypte ainsi n'importe quel encodage destiné à brouiller un message.
Le logiciel d'espionnage utilise Internet pour s'introduire dans la machine d'un suspect et renvoyer mots de passe, textes et adresses des courriels (même ceux qui n'ont pas été expédiés) et l'historique des sites visités. Plus encore, il s'appropie tout document du disque dur, même ceux qui ont été effacés. Bref, une fouille en règle.
C'est une véritable « intrusion dans la vie privée, qui n'est pas soumise à un contrôle parlementaire ou judiciaire pour permettre aux citoyens de se défendre », s'inquiète Jacques Tousignant, vice-président de la Ligue des droits et libertés (voir autre texte en page A 5).
Comment se prémunir d'une telle intrusion, abusive si on n'a rien à se reprocher ? Pour l'instant, impossible. Pire encore, l'effraction pourrait ne laisser aucune trace. Certaines compagnies qui développent des antivirus comme Symantec ont annoncé qu'elles pourraient prendre des dispositions pour qu'elle soit indétectable, par Norton dans ce cas précis.
Techniquement, « Magic Lantern » est une petite merveille de technologie. Virus de la famille des chevaux de Troie et de l’espèce des keyloggers, il utilise le courrier électronique pour s’installer sur un ordinateur.
Ensuite, il surveille et garde en mémoire les lettres ou les chiffres tapés sur le clavier par l’utilisateur de la machine. Au final, le mouchard extrait en toute discrétion les informations qu’il a recueillies.
Utilisé par les pirates informatiques ou pour de l’espionnage économique, ce type de logiciel a été développé par le FBI afin de faciliter le travail des enquêteurs désirant déchiffrer des documents dont le cryptage est trop difficile à casser.
«Magic Lantern» leur permet d’intercepter les mots de passe et les clefs utilisées pour crypter les messages
extraits de lecture :
Votre agresseur pourra être un hacker, une entreprise concurrente, un opérateur si vous touchez au domaine des télécoms, ou un gus des RG si vous touchez à des dossiers sensibles. En ce qui me concerne, j'ai réglé le problème dès le départ. Un ordinateur est dédié à Internet et ne comprend aucune information confidentielle. Un autre est dédié à tout ce qui est confidentiel, et n'ai jamais connecté sur Internet ou sur l'autre ordinateur par une liaison USB ou un lien Ethernet. Pour augmenter la sécurité, les disques durs qui ont des données sensibles sont mis à l'abris à chaque fois que je m'absente. Il faudrait être en effet totalement inconscient pour ne pas pas adopter ce type de mesure. Tous les systèmes sont actuellement espionnés. On sait que Windows par exemple est une véritable passoire.
Fichiers log, dat et autres à usage général:
A signaler la présence de nombreux autres mouchards dont il est impossible ici de faire l'inventaire pour tous. Il faut savoir que tous les logiciels ont un fichier "log" ou "dat" qui permettent d'enregistrer toute l'activité de l'utilisation du logiciel, quand ce n'est pas carrément celui de l'ordinateur. On peut y trouver les heures de connexion, voire les pages destinations, quand ce n'est pas le contenu des émails que vous avez reçu ou émis.
Pour connaître la liste de vos dossiers, il suffit d'utiliser à distance votre explorateur pour visionner tout le contenu de vos disques durs. Pour explorer les disques durs en toute impunité et jouer le rôle de mouchard, rien ne vaut les antivirus ou défragmenteurs de disques qui lisent tout le disque, mais peuvent être chargé de mettre certaines informations de côté pour les transmettre à votre prochaine connexion Internet à une adresse spécifiée, et le tout à votre insu bien évidemment.
*NOTE: Il faut savoir que des petits malins, ou services officiels ou d'espionnage, peuvent contourner et désactiver le firewall de votre machine. Ils peuvent aussi effacer leurs traces des fichiers "LOG".
L'objectif des key loggers est d'enregistrer et de restituer tout le travail qui a été réalisé par un utilisateur. Les touches enregistrées permettent effectivement de retracer non seulement le travail courant, mais aussi de récupérer tous les identifiants et mots de passes.
Ils sont installés directement par le pirate sur la machine visée, si l'ordinateur n'a pas de connexion internet permettant une installation à distance via un cheval de Troie.
En général, les Key Loggers se lancent directement au démarrage de la machine hôte. Une fois le key loggers lancé, il
enregistre au fur et à mesure tout ce qui est réalisé. Dans la plupart des cas, si la machine cible est pourvue d'une connexion internet, le key logger enverra discrètement, à une adresse mail ou à un serveur internet, un fichier, généralement crypté, contenant tous les renseignements collectés.
Même si un utilisateur découvrait un fichier crypté il ne saurait reconnaître les éléments contenus à l'intérieur. En effet pas évident de comprendre l'extrait crypté d'un fichier log comme :
"#tJ|{/gir}olT"YbuR\"ZQfy~"K`haxZ"OR]"K`tsar}//t]"Zgro|~gnon"K`xar/tJ|koa"Zal/"\z}"K`"
L'option de planification de l'activité du Key Logger peut être très utile au pirate. En effet, il peut planifier les jours et moments auxquels le Key Logger doit se mettre en fonction. Cela permet de n'avoir que les informations désirées et favorise une plus grande discrétion puisque la mémoire dans laquelle le Key Logger s'intalle généralement n'est sollicitée qu'à des moments bien précis.
Les Key Loggers ne sont pas toujours identifés par les anti-virus. Il n'est donc pas évident de les remarquer. En outre, dans la plupart des cas des options permettant l'invisibilité du programme exécuté existent.
En général les fichiers de récupération, cryptés ou non sont stockés avec des noms très peu parlant dans c:/windows/temp. Il est intéressant d'aller tenter d'ouvrir les fichiers contenus dans ce répertoire. Pour ouvrir ces fichiers, cliquer en même temps sur "Shift" et le bouton droit de la souris. Parmi le menu qui s'offre vous verrez l'option "ouvrir avec". Le plus simple est alors de choisir "Note Pad" qui affichera les éléments en mode texte seulement. Vous pouvez, si le fichier n'est pas ou mal crypté retrouver des éléments qui doivent immédiatement vous alerter.
Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur !
Les keyloggers peuvent être soit logiciels soient matériels. Dans le premier cas il s'agit d'un processus furtif (ou bien portant un nom ressemblant fortement au nom d'un processus système), écrivant les informations captées dans un fichier caché ! Les keyloggers peuvent également être matériel : il s'agit alors d'un dispositif (câble ou dongle) intercalé entre la prise clavier de l'ordinateur et le clavier
Afin d'éviter leur suppression, certains spywares n'hésitent pas à masquer leur processus pour ne pas qu'il apparaisse dans le Gestionnaire des tâches de Windows voir même à désactiver votre connexion Internet si vous essayez de les supprimer !
. Bien que certaines applications l'identifient, les utilisateurs n'y prêtent pas vraiment attention en pensant que c'est comme si on partageait des fichiers
DOUBLE CLICK
Les pratiques de Double Click remises en cause par les associations américaines de protection de la vie privée 06/03/2000
L’agence publicitaire Double Click, premier fournisseur de bannières publicitaires cliquables sur le web est aujourd’hui dans le collimateur des associations américaines soucieuses de faire respecter le droit au respect de la vie privée sur internet. A la suite de l’EPIC, plusieurs associations américaines ( CDT, ACLU, PRC ) ont ainsi saisi la Federal Trade Commission ( Répression des Fraudes Américaine) pour qu’une enquête soit diligentée sur les pratiques de cette société. Double click est accusée de collecter toutes sortes de données personnelles à l’insu des internautes, y compris les plus sensibles. Selon Richard Smith, expert en informatique, il ne serait même pas nécessaire de cliquer sur un bandeau publicitaire pour que des informations soient envoyées au serveur de DoubleClick . Le simple fait de consulter une page étant suffisant pour se retrouver dans ses fichiers
L'espion qui venait de Microsoft...
Pour Win98 / Win98SE / WinME / Win2000 / WinXP
Peut être le savez-vous déjà, mais depuis Windows 98 et ce dès que vous êtes connectés sur un site de Microsoft, sachez que vous êtes suivis ! Voici comment virer ce mouchard.
Erreur! Nom du fichier non spécifié.
Microsoft a équipé ses différentes versions de Windows (depuis la version 98 ) d'un contrôle ActiveX qui lui permet (et d'autres sites s'en servent !) de lire votre HWID (Hardware ID) ainsi que le MSID (Microsoft ID) qui peuvent (ou sont utilisés ?!) par Microsoft pour connaître vos mouvements sur son site.
-
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
VOILA POUR TON PETIT DEJEUNER :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
EN DIRECT AVEC LE PIRATE, voici ce qui se passe dans TEMP
Fichiers suspects dans documents and settings, local settings, TEMP
DOSSIER IMT61.drd
<!ELEMENT glossary (locSection, glossSection*)>
<!ELEMENT locSection (locItem+)>
<!ELEMENT locItem (#PCDATA)>
<!ATTLIST locItem locItemID ID #REQUIRED>
<!ELEMENT glossSection (glossLetter, (empty | entry+))>
<!ELEMENT glossLetter (#PCDATA)>
<!ATTLIST glossLetter bookmark CDATA #REQUIRED>
<!ELEMENT empty EMPTY>
<!ELEMENT entry (term, group, rubytext, scopeDef+)>
<!ATTLIST entry entryID ID #REQUIRED>
<!ELEMENT term (#PCDATA)>
<!ATTLIST term originalTerm CDATA #REQUIRED>
<!ELEMENT group EMPTY>
<!ATTLIST group target CDATA #REQUIRED>
<!ELEMENT rubytext (#PCDATA)>
<!--<!ELEMENT scopeDef (def)+>-->
<!ELEMENT scopeDef (scope+, ((seeEntry*) | (def,seeAlso*)))>
<!ELEMENT scope EMPTY>
<!ATTLIST scope status CDATA #REQUIRED scopeTermID CDATA #REQUIRED>
<!ELEMENT seeEntry EMPTY>
<!ATTLIST seeEntry seeTermID IDREF #REQUIRED>
<!--<!ELEMENT def (scope+,seeAlso*,para+)>-->
<!ELEMENT def (para)*>
<!ELEMENT seeAlso (#PCDATA)>
<!ATTLIST seeAlso seeAlsoTermID IDREF #REQUIRED>
<!ELEMENT para (#PCDATA)>
DOSSIER IMT42.dtd
<!ELEMENT glossary (locSection, glossSection*)>
<!ELEMENT locSection (locItem+)>
<!ELEMENT locItem (#PCDATA)>
<!ATTLIST locItem locItemID ID #REQUIRED>
<!ELEMENT glossSection (glossLetter, (empty | entry+))>
<!ELEMENT glossLetter (#PCDATA)>
<!ATTLIST glossLetter bookmark CDATA #REQUIRED>
<!ELEMENT empty EMPTY>
<!ELEMENT entry (term, group, rubytext, scopeDef+)>
<!ATTLIST entry entryID ID #REQUIRED>
<!ELEMENT term (#PCDATA)>
<!ATTLIST term originalTerm CDATA #REQUIRED>
<!ELEMENT group EMPTY>
<!ATTLIST group target CDATA #REQUIRED>
<!ELEMENT rubytext (#PCDATA)>
<!--<!ELEMENT scopeDef (def)+>-->
<!ELEMENT scopeDef (scope+, ((seeEntry*) | (def,seeAlso*)))>
<!ELEMENT scope EMPTY>
<!ATTLIST scope status CDATA #REQUIRED scopeTermID CDATA #REQUIRED>
<!ELEMENT seeEntry EMPTY>
<!ATTLIST seeEntry seeTermID IDREF #REQUIRED>
<!--<!ELEMENT def (scope+,seeAlso*,para+)>-->
<!ELEMENT def (para)*>
<!ELEMENT seeAlso (#PCDATA)>
<!ATTLIST seeAlso seeAlsoTermID IDREF #REQUIRED>
<!ELEMENT para (#PCDATA)>
18 FICHIERS STYLE : IMT 1A. xml, IMT 60 xml de 2723 ko. Puis soudainement, de 18, je passe à 30 ! ! (je suis connectée).
dossier CBOAACC9.TMP ADOBE READER 1ko
+ÁÇY| ,Ø0¨áÛ*~‡ó. ú0§€Ý8'Ù? ›à^ îÉÍLNš÷gýy \oB”»,6@T î 5-]y€½ Ï ;†‹»
ÒVtê¸þfëÃGƲ+·Ã¾|²“ÈgØß›Ghd78sùŠŒ¸*°?”ñ–a
____dossier PMShared (ouvert : quelques carrés alignés), en copier coller ca donne le trait ici à gauche… (codage ?)
adobe reader des dossiers qui ne s’ouvrent pas DFC7CA. Temp, DFC.768 temp,DFD860 temp, etc.
« fichier enregistrement automatique de dossier IMT61.asd », fichier asd : ce fichier refuse de s’ouvrir, d’aller à la poubelle. Il vient de se créer et doit être le compte rendu de ce que je fais ici (déjà eu cela) en direct !
extraits du dossier :
____
+ Á Ç Y | , Ø 0 ¨ á Û * ~ ! ó . ú 0 § Ý 8 ' Ù ? : à ^ î É Í L N
a ÷ g ý y \ o B » , 6 @ T î 5 - ] y ½ Ï ; 9 »
Ò V t ê ¸ þ f ë Ã G
Æ ² + · Ã ¾ | ² È g Ø ß : G h d 7 8 s ù ` R ¸ * ° ? ñ a
x ð
h à X Ð H À 8 ° ( ? € ø d à X Ð <
¸
0
¨
ž
Ï
ÿÿÿÿ € ž
ž
ÿÿÿÿ ž
€
€ Ï
Ï
ÿÿÿÿ Ï
€
x ‰ ( ? ÿÿÿÿÿÿ°ÿ Ýk¢&. i l v i e n t d e s e c r é e r e t d o i t
@ " . i l v i e n t d e s e c r é e r e t d o i t " ê t r e l e c o m p t e r
e n d u d e c e q u e j e f a i s i c i ( d é j a ^ " ê t r e l e c o m p t
e r e n d u d e c e q u e j e f a i s i c i ( d " d é j à e u c e l a ) e n
d i r e c t !
IL CONTIENT 63 PAGES ET VIENT DE DISPARAITRE SOUS MES YEUX DU DOSSIER TEMP (récupéré par le pirate probablement, je suis connectée)
Un nouveau dossier se crée à l’instant, en direct :
Extraits de ce dossier :
~
Ï
ÿ ÿ ÿ ÿ ~
~
ÿ ÿ ÿ ÿ ~
Ï
Ï
ÿ ÿ ÿ ÿ Ï
x 0 ( ? ÿ ÿ ÿ ÿ ÿ ÿ ° ÿ Ý k ¢ & . i l v i e n t d e s e c r é e r e t d o i t
& . F V n v Ž ž ¢ Z È Œ P ý ý ý ý ý ý ý ý ý ý ý ý ý ý ý @ " . i l v i e n t d e s e c r é e r e t d o i t " ê t r e l e c o m p t e r
e n d u d e c e q u e j e f a i s i c i ( d é j a ^ " ê t r e l e c o m p t
e r e n d u d e c e q u e j e f a i s i c i ( d " d é j à e u c e l a ) e n
d i r e c t ! x ð h à x0‡ ( n ÿÿÿÿÿÿŒô èk¢&ÿÿÿÿ ]
p ÿÿÿÿ € ]
]
ÿÿÿÿ
]
]
€ p p ÿÿÿÿ p p x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ t t Äô( t w Äô( u u € t t Äô( t t x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ u u Äô( u } Äô( v v € u u Äô( u u x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ Ü <h <h Äô( <h i Äô( <h <h € <h <h Äô( <h <h x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ <h <h Äô( € <h <h Äô( <h <h € <h <h
Äô( <h <h
Ce fichier établi « en direct » disparaît et est remplacé aussitôt par un autre qui enregistre tout ce que je fais !
Je passe CLEANER, reste seulement 6 fichiers dans le dossier TEMP
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\sandra\Mes documents\Monitor.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wwSecure.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\system32\slrundll.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37480.cab
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BEWVJ - Unknown owner - (no file)
O23 - Service: EX - ewido networks - (no file)
O23 - Service: FWUJDJXPHMW - Sunbelt Software - (no file)
O23 - Service: GBTKWNZAO - Sunbelt Software - (no file)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: NUICP - - (no file)
O23 - Service: QHKHLE - Sonic Solutions - (no file)
O23 - Service: QNLASVFEDGZB - Sonic Solutions - (no file)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TWZCDN - TuneUp Software GmbH - (no file)
O23 - Service: TYNUE - TuneUp Software GmbH - (no file)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe
EN DIRECT AVEC LE PIRATE, voici ce qui se passe dans TEMP
Fichiers suspects dans documents and settings, local settings, TEMP
DOSSIER IMT61.drd
<!ELEMENT glossary (locSection, glossSection*)>
<!ELEMENT locSection (locItem+)>
<!ELEMENT locItem (#PCDATA)>
<!ATTLIST locItem locItemID ID #REQUIRED>
<!ELEMENT glossSection (glossLetter, (empty | entry+))>
<!ELEMENT glossLetter (#PCDATA)>
<!ATTLIST glossLetter bookmark CDATA #REQUIRED>
<!ELEMENT empty EMPTY>
<!ELEMENT entry (term, group, rubytext, scopeDef+)>
<!ATTLIST entry entryID ID #REQUIRED>
<!ELEMENT term (#PCDATA)>
<!ATTLIST term originalTerm CDATA #REQUIRED>
<!ELEMENT group EMPTY>
<!ATTLIST group target CDATA #REQUIRED>
<!ELEMENT rubytext (#PCDATA)>
<!--<!ELEMENT scopeDef (def)+>-->
<!ELEMENT scopeDef (scope+, ((seeEntry*) | (def,seeAlso*)))>
<!ELEMENT scope EMPTY>
<!ATTLIST scope status CDATA #REQUIRED scopeTermID CDATA #REQUIRED>
<!ELEMENT seeEntry EMPTY>
<!ATTLIST seeEntry seeTermID IDREF #REQUIRED>
<!--<!ELEMENT def (scope+,seeAlso*,para+)>-->
<!ELEMENT def (para)*>
<!ELEMENT seeAlso (#PCDATA)>
<!ATTLIST seeAlso seeAlsoTermID IDREF #REQUIRED>
<!ELEMENT para (#PCDATA)>
DOSSIER IMT42.dtd
<!ELEMENT glossary (locSection, glossSection*)>
<!ELEMENT locSection (locItem+)>
<!ELEMENT locItem (#PCDATA)>
<!ATTLIST locItem locItemID ID #REQUIRED>
<!ELEMENT glossSection (glossLetter, (empty | entry+))>
<!ELEMENT glossLetter (#PCDATA)>
<!ATTLIST glossLetter bookmark CDATA #REQUIRED>
<!ELEMENT empty EMPTY>
<!ELEMENT entry (term, group, rubytext, scopeDef+)>
<!ATTLIST entry entryID ID #REQUIRED>
<!ELEMENT term (#PCDATA)>
<!ATTLIST term originalTerm CDATA #REQUIRED>
<!ELEMENT group EMPTY>
<!ATTLIST group target CDATA #REQUIRED>
<!ELEMENT rubytext (#PCDATA)>
<!--<!ELEMENT scopeDef (def)+>-->
<!ELEMENT scopeDef (scope+, ((seeEntry*) | (def,seeAlso*)))>
<!ELEMENT scope EMPTY>
<!ATTLIST scope status CDATA #REQUIRED scopeTermID CDATA #REQUIRED>
<!ELEMENT seeEntry EMPTY>
<!ATTLIST seeEntry seeTermID IDREF #REQUIRED>
<!--<!ELEMENT def (scope+,seeAlso*,para+)>-->
<!ELEMENT def (para)*>
<!ELEMENT seeAlso (#PCDATA)>
<!ATTLIST seeAlso seeAlsoTermID IDREF #REQUIRED>
<!ELEMENT para (#PCDATA)>
18 FICHIERS STYLE : IMT 1A. xml, IMT 60 xml de 2723 ko. Puis soudainement, de 18, je passe à 30 ! ! (je suis connectée).
dossier CBOAACC9.TMP ADOBE READER 1ko
+ÁÇY| ,Ø0¨áÛ*~‡ó. ú0§€Ý8'Ù? ›à^ îÉÍLNš÷gýy \oB”»,6@T î 5-]y€½ Ï ;†‹»
ÒVtê¸þfëÃGƲ+·Ã¾|²“ÈgØß›Ghd78sùŠŒ¸*°?”ñ–a
____dossier PMShared (ouvert : quelques carrés alignés), en copier coller ca donne le trait ici à gauche… (codage ?)
adobe reader des dossiers qui ne s’ouvrent pas DFC7CA. Temp, DFC.768 temp,DFD860 temp, etc.
« fichier enregistrement automatique de dossier IMT61.asd », fichier asd : ce fichier refuse de s’ouvrir, d’aller à la poubelle. Il vient de se créer et doit être le compte rendu de ce que je fais ici (déjà eu cela) en direct !
extraits du dossier :
____
+ Á Ç Y | , Ø 0 ¨ á Û * ~ ! ó . ú 0 § Ý 8 ' Ù ? : à ^ î É Í L N
a ÷ g ý y \ o B » , 6 @ T î 5 - ] y ½ Ï ; 9 »
Ò V t ê ¸ þ f ë Ã G
Æ ² + · Ã ¾ | ² È g Ø ß : G h d 7 8 s ù ` R ¸ * ° ? ñ a
x ð
h à X Ð H À 8 ° ( ? € ø d à X Ð <
¸
0
¨
ž
Ï
ÿÿÿÿ € ž
ž
ÿÿÿÿ ž
€
€ Ï
Ï
ÿÿÿÿ Ï
€
x ‰ ( ? ÿÿÿÿÿÿ°ÿ Ýk¢&. i l v i e n t d e s e c r é e r e t d o i t
@ " . i l v i e n t d e s e c r é e r e t d o i t " ê t r e l e c o m p t e r
e n d u d e c e q u e j e f a i s i c i ( d é j a ^ " ê t r e l e c o m p t
e r e n d u d e c e q u e j e f a i s i c i ( d " d é j à e u c e l a ) e n
d i r e c t !
IL CONTIENT 63 PAGES ET VIENT DE DISPARAITRE SOUS MES YEUX DU DOSSIER TEMP (récupéré par le pirate probablement, je suis connectée)
Un nouveau dossier se crée à l’instant, en direct :
Extraits de ce dossier :
~
Ï
ÿ ÿ ÿ ÿ ~
~
ÿ ÿ ÿ ÿ ~
Ï
Ï
ÿ ÿ ÿ ÿ Ï
x 0 ( ? ÿ ÿ ÿ ÿ ÿ ÿ ° ÿ Ý k ¢ & . i l v i e n t d e s e c r é e r e t d o i t
& . F V n v Ž ž ¢ Z È Œ P ý ý ý ý ý ý ý ý ý ý ý ý ý ý ý @ " . i l v i e n t d e s e c r é e r e t d o i t " ê t r e l e c o m p t e r
e n d u d e c e q u e j e f a i s i c i ( d é j a ^ " ê t r e l e c o m p t
e r e n d u d e c e q u e j e f a i s i c i ( d " d é j à e u c e l a ) e n
d i r e c t ! x ð h à x0‡ ( n ÿÿÿÿÿÿŒô èk¢&ÿÿÿÿ ]
p ÿÿÿÿ € ]
]
ÿÿÿÿ
]
]
€ p p ÿÿÿÿ p p x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ t t Äô( t w Äô( u u € t t Äô( t t x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ u u Äô( u } Äô( v v € u u Äô( u u x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ Ü <h <h Äô( <h i Äô( <h <h € <h <h Äô( <h <h x0‡ ( - ÿÿÿÿÿÿ°ÿ ék¢&ÿÿÿÿ <h <h Äô( € <h <h Äô( <h <h € <h <h
Äô( <h <h
Ce fichier établi « en direct » disparaît et est remplacé aussitôt par un autre qui enregistre tout ce que je fais !
Je passe CLEANER, reste seulement 6 fichiers dans le dossier TEMP
-
Ok... Tu ne vois pas les fameux fichiers dans le dossier Temp ; as-tu bien modifié les options d'affichage tel que je te l'avais prescrit ? Je vais donc te redemander un nouveau rapport HijackThis!, car je veux constater si les services sont toujours présents, s'ils ont changé de noms, etc... Merci. Je vais faire dodo, et serai de retour dans 6-7 heures environ. J'aimerais bien pouvoir te prescrire un petit 8 heures de sommeil également...
Edit : Double Click est un générateur de pubs bien connu, qui est inclus sur bien des pages web. Plutôt énervant, mais pas méchant..
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
VOILA POUR TON PETIT DEJEUNER :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\sandra\Mes documents\Monitor.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wwSecure.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\system32\slrundll.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37480.cab
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BEWVJ - Unknown owner - (no file)
O23 - Service: EX - ewido networks - (no file)
O23 - Service: FWUJDJXPHMW - Sunbelt Software - (no file)
O23 - Service: GBTKWNZAO - Sunbelt Software - (no file)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: NUICP - - (no file)
O23 - Service: QHKHLE - Sonic Solutions - (no file)
O23 - Service: QNLASVFEDGZB - Sonic Solutions - (no file)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TWZCDN - TuneUp Software GmbH - (no file)
O23 - Service: TYNUE - TuneUp Software GmbH - (no file)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe
-
Bonjour Sandra ; je commençais à m'inquiéter !
Bon ok ; ces fichiers "Acrobat", ben je ne peux commenter à distance (sans les voir). Ces fichiers "temp", par contre, m'agacent un peu. Je veux les faire analyser par un collègue, si tu permets. Voici comment :
Retourne dans ce dossier via l'Explorateur Windows :
C:\Documents and Settings\sandra\Local Settings\Temp <<
Pour chacun des fichiers suivant :
C:\Documents and Settings\sandra\Local Settings\Temp\RMGIOZ.exe
C:\Documents and Settings\sandra\Local Settings\Temp\OLXERHPG.exe
C:\Documents and Settings\sandra\Local Settings\Temp\HVERKLBUQ.exe
C:\Documents and Settings\sandra\Local Settings\Temp\GXEJAIMMS.exe
C:\Documents and Settings\sandra\Local Settings\Temp\BYBBLC.exe
C:\Documents and Settings\sandra\Local Settings\Temp\BEWVJ.exe
C:\Documents and Settings\sandra\Local Settings\Temp\TYNUE.exe
...tu fais un clic-droit dessus, et choisis "Envoyer vers" >> "Dossier compressé"
Ceci va créer 7 nouveaux fichiers "zippés" (compressés) dans le même dossier "Temp", qui auront l'apparence d'un dossier avec fermeture éclair, portant le même nom que le fichier original, mais avec l'extension .zip au lieu de .exe.
Maintenant, lance ton programme de courrier, et envoie ces fichiers .zip (en pièces jointes) à l'adresse que je te fournis par messagerie ;
- Comme titre de message : Fichiers de Sandra
- Pas nécessaire d'écrire quoique ce soit dans le message, mais colle le lien de ce topic, que voici :
http://forum.zebulon.fr/index.php?showtopic=86316&st=0
Je posterai ici dès que j'aurai les résultats d'analyse. Il se peut que ces fichiers (services) aient été créés par RootkitRevealer, ce qui serait ok ; mais il vaut mieux vérifier, car s'il ne s'agit pas de SysInternals, nous pourrions avoir une piste.
Merci, et à bientôt
BONJOUR
je n'ai pas parlé dans ma réponse, des 7 fichiers que tu as écrits : parce que je ne les ai pas...,
je ne peux donc m'y référer et faire ton opération.
il y a plein de choses nouvelles mais je ne peux parler de tout, c'est trop compliqué par écrit.
KERIO installé m'apprend bien des choses sur les attaques, encore faudrait t'il trouvé le log correspondant....
n'est tu pas démotivé ?
Je mets ts les dossiers suspects sur CD : énorme !
Des fichiers impossibles à virer aussi, comment faire....TEST TREND MICRO, NICKEL, avec mises à jour et pack 2.
La souris ne clique plus deux fois à gauche et plus de son... Ca continue...
un dossier "content IE5" que j'ouvre et un dossier d' infos à l'intérieur disparait sous mes yeux : il contenait le travail de la journée, à savoir le récap des scans SPY SWEEPER avec des extraits (relatant les dossiers sensibles ) pour alléger les pages. Comment ce dossier (copie conforme) peut disparaitre sous mes yeux, quand je ne suis pas connectée sur le net ? Comment agit donc ce systéme d'espionnage ?
autre chose : double click tente de pénétrer (ou de réinstaller son truc de surveillance), KERIO fait barrage. Je constate qu'il y a une adresse de site renvoyant à un autre où j'ai fait un témoignage sur un tueur en série... Je crois pouvoir en déduire que ce site + double click me surveille au profit de quelqu'un...
Inutile de se fatiguer, monsieur le pirate, la brigade criminelle a déjà mon nom et mon témoignage...
Quand je clique sur l'adresse mentionné par le parefeu, une fenêtre d'enregistrement de programme s'affiche : celle de double click...
j'ai viré des trucs et je crains des suites dans le fonctionnement du PC : exemple, la page du poste de travail est complétement changée. Quatre lignes l'une en dessous de l'autre au lieu d'une présentation sympa. Comment retrouver cette formule d'affichage ?
je n'ai pas encore dormi du tout.
merci
-
Rebonjour Sandra ;
Je vais te faire travailler un brin (pas compliqué !). Premièrement, tu dois modifier quelques options d'affichage afin de bien voir tous les fichiers/dossiers cachés par Windows, et voici comment faire :
- Lance l'Explorateur Windows (clic-droit sur le bouton "Démarrer" >> et clique sur "Explorer")
- Clique sur le menu "Outils" (au haut), puis clique sur "Options des dossiers..."
- Clique l'onglet "Affichage" :
- Coche "Afficher le contenu des dossiers système"
- Active le bouton rond "Afficher les fichiers et dossiers cachés"
- Décoche "Masquer les extensions des fichiers dont le type est connu"
- Clique Ok et ferme la fenêtre.
De l'Explorateur Windows, navigue vers ce dossier et clique une fois dessus :
C:\Documents and Settings\sandra\Local Settings\Temp <<
Tu verras maintenant tous les fichiers contenu dans ce dossier dans la fenêtre de droite.
Pour chacun des fichiers suivants, fais un clic-droit dessus et clique sur "Propriétés", et clique sur l'onglet "Version". Note ce qui est écrit, et refile nous l'information ici, s'il te plaît. Il est possible que ces fichiers soient tous de SysInternals, mais vaut mieux vérifier ! Voici les fichiers en question :
C:\Documents and Settings\sandra\Local Settings\Temp\RMGIOZ.exe
C:\Documents and Settings\sandra\Local Settings\Temp\OLXERHPG.exe
C:\Documents and Settings\sandra\Local Settings\Temp\HVERKLBUQ.exe
C:\Documents and Settings\sandra\Local Settings\Temp\GXEJAIMMS.exe
C:\Documents and Settings\sandra\Local Settings\Temp\BYBBLC.exe
C:\Documents and Settings\sandra\Local Settings\Temp\BEWVJ.exe
C:\Documents and Settings\sandra\Local Settings\Temp\TYNUE.exe
À plus tard !
bonjour à toi et PARDON POUR LE RETARD...
je trouve souvent ces fichiers ADOBE READER, ici 11 : vide o octet, rien dans "résumé", porte les noms comme wt 1c tmp, wt13 tmp, etc SUSPECTS...
CBOAACCA TMP adobe reader 114 octets 4 ko, rien dans "résumé" : ouverture donne un codage...Puis, soudain il n'affiche plus que 1ko... SUSPECT
dossier "hsper data sandra", vide... (???)
PMShared 4 octets rien ds résumé (???)
dossier avast4 vide
deux fichiers av des numéros, (kério le pare feu, installé depuis peu...)
un dossier were tmp dir 00, spy sweeper (l'anti spyware)
pas d'onglet "version" mais "résumé" ou "avancé"
voilà. L'espion est de nouveau détecté par TREND MICRO;
je viens seulement de mettre PACK 2 et mises à jour : ayant lu les problémes liés à aol et ce pack, je m'y étais opposée, pour éviter des tracasseries. Alors, bien sur, les failles de sécurité restaient présentes.
Le systéme semble fonctionner pour l'instant..., à suivre...
regarde les rapports HIJACTHIS adobe reader figure toujours dans la premiére ou deuxiéme ligne, comme un toolbar je crois.
il est souvent noté dans les scans et les problémes...
j'ai viré tout un dossier adobe reader 6 (7 en fonction) où se trouvaient bdp de dossiers, suspects.
j'ai trouvé aussi, des dossiers de 4000 pages et d'autres moins. Je les ai gardés sur CD.
Le dossier organize aol contient des pages avec des mails, je voudrais le virer : c'est un document de choix pour un pirate.
merci de m'aider.
-
Sandra ; avant de m'attaquer aux services, j'ai besoin d'un autre scan...
1) Télécharge Getservices.zip de ce lien :
http://www.bleepingcomputer.com/files/spyw...getservices.zip
2) Double-clique sur le fichier téléchargé, et tu verras un dossier nommé getservice
3) Colle ce dossier directement sur le C:, donc tu auras C:\getservice
4) Double-clique le dossier, et ensuite double-clique sur getservice.bat
5) Une fenêtre DOS va apparaître momentanément, puis un fichier texte qui contient le rapport.
6) Poste (copie/colle) ce rapport ici s'il te plaît. Si jamais il est trop long et n'apparaît pas au complet sur le forum, prière de poster la suite dans un second post. Le fichier du rapport se retrouve dans le dossier getservice, et se nomme getservice.txt
Merci
bonjour au pirate qui a encore de beaux jours devant lui et à tous !
a 3, je ne comprends pas : fenêtre noire, copier coller d'un rapport mais je ne vois rien !
peux tu m'expliquer mieux STP
fenêtre DOS????
j'envoie tt de même ce rapport qui ne doit pas correspondre à ce que tu veux, pardonne moi...
PsService v1.1 - local and remote services viewer/controller
Copyright © 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com
SERVICE_NAME: Alerter
Informe les utilisateurs et les ordinateurs sélectionnés des alertes administratives. Si ce service est arrêté, les programmes qui utilisent les alertes administratives ne les recevront pas. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Avertissement
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\LocalService
SERVICE_NAME: ALG
Fournit la prise en charge des plugins de protocoles tiers pour le partage de connexion Internet et le pare-feu Internet.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\alg.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Service de la passerelle de la couche Application
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService
SERVICE_NAME: AOL ACS
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AOL Connectivity Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: AOLService
Removes spyware found by ASP that cannot be removed without a reboot.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AOL Spyware Protection Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: AppMgmt
Fournit des services d'installation de logiciels tels que Attribuer, Publier et Supprimer.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gestion d'applications
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: aswUpdSv
Permet la mise à jour automatique d'avast! antivirus.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : avast! iAVS4 Control Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: AudioSrv
Gère les périphériques audio pour les programmes basés sur Windows. Si ce service est arrêté, les périphériques et les effets audio ne fonctionneront pas correctement. Si ce service est désactivé, les services en dépendant explicitement ne démarreront pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : AudioGroup
TAG : 0
DISPLAY_NAME : Audio Windows
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: avast! Antivirus
Gère et implemente les services avast! antivirus pour cet ordinateur. Ceci inclut la protection résidente, la zone de quarantaine et le planificateur.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Program Files\Alwil Software\Avast4\ashServ.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : avast! Antivirus
DEPENDENCIES : aswMon2
: RpcSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: avast! Mail Scanner
Implements mail scanning for the avast! antivirus.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : avast! Mail Scanner
DEPENDENCIES : avast! Antivirus
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: avast! Web Scanner
Implémente l'analyse du contenu web (HTTP) pour l'antivirus avast!.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : avast! Web Scanner
DEPENDENCIES : avast! Antivirus
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: BEWVJ
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\DOCUME~1\sandra\LOCALS~1\Temp\BEWVJ.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : BEWVJ
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: BITS
Utilise la bande passante réseau inactive pour transférer des données.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Service de transfert intelligent en arrière-plan
DEPENDENCIES : Rpcss
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Browser
Tient à jour une liste des ordinateurs présents sur le réseau et fournit cette liste aux ordinateurs désignés comme navigateurs. Si ce service est arrêté, la liste ne sera pas mise ou tenue à jour. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Explorateur d'ordinateur
DEPENDENCIES : LanmanWorkstation
: LanmanServer
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: BUQDYWQ
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : BUQDYWQ
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: BYBBLC
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\DOCUME~1\sandra\LOCALS~1\Temp\BYBBLC.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : BYBBLC
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: CiSvc
Construit un index des contenus et des propriétés des fichiers sur les ordinateurs locaux et distants ; fournit un accès rapide aux fichiers par le biais d'un langage d'interrogation flexible.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\cisvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Service d'indexation
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: ClipSrv
Active le Gestionnaire de l'Album afin de stocker les informations et les partager avec des ordinateurs à distance. Si le service est arrêté, le Gestionnaire de l'Album ne pourra pas partager les informations avec des ordinateurs à distance. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\clipsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gestionnaire de l'Album
DEPENDENCIES : NetDDE
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: COMSysApp
Gère la configuration et le suivi des composants de base COM+ (Component Object Model) . Si le service est arrêté, la plupart des composants de base COM+ ne fonctionneront pas correctement. Si ce service est désactivé, les services qui en dépendent de manière explicite ne pourront pas démarrer.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Application système COM+
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 30 seconds
FAILURE_ACTIONS : Restart DELAY: 1000 seconds
: Restart DELAY: 5000 seconds
: None DELAY: 1000 seconds
SERVICE_NAME: CryptSvc
Fournit trois services de gestion : le service de base de données de catalogue, qui confirme la signature des fichiers Windows; le service de racine protégée, qui ajoute et supprime des certificats d'autorité de certification de racine approuvés et le service Clé, qui fournit une aide dans l'inscription de cet ordinateur pour les certificats. Si ce service est arrêté, ces services de gestion ne fonctionneront pas correctement. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Services de cryptographie
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Dhcp
Gère la configuration réseau en inscrivant et en mettant à jour les adresses IP et les noms DNS.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Client DHCP
DEPENDENCIES : Tcpip
: Afd
: NetBT
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: DLHUA
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : DLHUA
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: dmadmin
Configure les lecteurs de disque durs et les volumes. Le service ne s'exécute que pour les processus de configurations puis s'arrête.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dmadmin.exe /com
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Service d'administration du Gestionnaire de disque logique
DEPENDENCIES : RpcSs
: PlugPlay
: DmServer
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: dmserver
Détecte et analyse de nouveaux lecteurs de disque durs et envoie les informations de volume de disque au service gestionnaire administratif de disque logique pour la configuration. Si ce service est arrêté, l'état des disques dynamiques et les informations de configuration peuvent devenir obsolètes. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gestionnaire de disque logique
DEPENDENCIES : RpcSs
: PlugPlay
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Dnscache
Résout et met en cache les noms DNS pour cet ordinateur. Si ce service est arrêté, l'ordinateur ne pourra pas résoudre les noms DNS et trouver les contrôleurs de domaine Active Directory. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Client DNS
DEPENDENCIES : Tcpip
SERVICE_START_NAME: NT AUTHORITY\NetworkService
SERVICE_NAME: DRA
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : DRA
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: ERSvc
Active le rapport d'erreurs pour les services et les applications s'exécutant sur des environnements non standard.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Service de rapport d'erreurs
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Eventlog
Active les messages d'événements émis par les programmes fonctionnant sous Windows et les composants devant être affichés dans l'observateur d'événements. Ce service ne peut être arrêté.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : Event log
TAG : 0
DISPLAY_NAME : Journal des événements
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: EventSystem
Prend en charge le service de notification d'événements système (SENS, System Event Notification Service), qui fournit une distribution automatique d'événements aux composants COM (Component Object Model) abonnés. Si le service est arrêté, SENS sera fermé et ne pourra fournir des informations d'ouverture et de fermeture de session. Si ce service est désactivé, le démarrage de tout service qui en dépend explicitement échouera.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : Système d'événements de COM+
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: ewido security suite control
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\Program Files\ewido anti-malware\ewidoctrl.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : ewido security suite control
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: EX
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : EX
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: FastUserSwitchingCompatibility
Fournit un système de gestion à des applications qui nécessitent de l'Assistance dans un environnement d'utilisateurs multiples.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Compatibilité avec le Changement rapide d'utilisateur
DEPENDENCIES : TermService
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: FWUJDJXPHMW
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : FWUJDJXPHMW
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: GBTKWNZAO
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : GBTKWNZAO
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: GXEJAIMMS
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\DOCUME~1\sandra\LOCALS~1\Temp\GXEJAIMMS.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : GXEJAIMMS
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: helpsvc
Permet à l'application Aide et support de fonctionner sur cet ordinateur. Si ce service est arrêté, la fonctionnalité Aide et support ne sera pas disponible. S'il est désactivé, tous les services dépendant explicitement de ce service ne pourront pas démarrer.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Aide et support
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 100 seconds
: Restart DELAY: 100 seconds
: None DELAY: 100 seconds
SERVICE_NAME: HidServ
Permet l'accès entrant générique aux périphériques d'interface utilisateur, qui activent et maintiennent l'utilisation des boutons actifs prédéfinis sur le clavier, les contrôles à distance, et d'autres périphériques multimédia. Si ce service est arrêté, les boutons actifs contrôlés par ce service ne fonctionneront pas. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Accès du périphérique d'interface utilisateur
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: HPMUOJOOY
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : HPMUOJOOY
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: HVERKLBUQ
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\DOCUME~1\sandra\LOCALS~1\Temp\HVERKLBUQ.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : HVERKLBUQ
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: ICTCVQZJMJZLRCC
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : ICTCVQZJMJZLRCC
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: ImapiService
Gère le gravage des CD via l'interface série IMAPI (Image Mastering Applications Programming Interface). Si ce service est arrêté, cet ordinateur ne pourra plus enregistrer de CD. Si ce service est désactivé, les services qui en dépendent ne vont pas pouvoir démarrer.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\imapi.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Service COM de gravage de CD IMAPI
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: lanmanserver
Prend en charge le partage de fichiers, d'impression et des canaux nommés via le réseau pour cet ordinateur. Si ce service est arrêté, ces fonctions ne seront pas disponibles. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Serveur
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: lanmanworkstation
Crée et maintient des connexions de réseau client à des serveurs distants. Si ce service est arrêté, ces connexions ne seront pas disponibles. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Station de travail
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: LmHosts
Permet la prise en charge pour NetBIOS sur un service TCP/IP (NetBT) et la résolution des noms NetBIOS.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Assistance TCP/IP NetBIOS
DEPENDENCIES : NetBT
: Afd
SERVICE_START_NAME: NT AUTHORITY\LocalService
SERVICE_NAME: Messenger
Envoie et reçoit les messages des services d'alertes entre les clients et les serveurs. Ce service n'est pas lié à Windows Messenger. Si ce service est arrêté, les messages d'alertes ne seront pas transmis. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Affichage des messages
DEPENDENCIES : LanmanWorkstation
: NetBIOS
: PlugPlay
: RpcSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: MLAVBV
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : MLAVBV
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: mnmsrvc
Permet aux personnes autorisées d'accéder à votre Bureau Windows en utilisant NetMeeting.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\mnmsrvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Partage de Bureau à distance NetMeeting
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: MSDTC
Coordonne les transactions qui comportent plusieurs gestionnaires de ressources, tels que des bases de données, des files d'attente de messages net des systèmes de fichiers. Si ce service est arrêté, ces transactions ne se produiront pas. S'il est désactivé, le démarrage de tout service qui en dépend explicitement échouera.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\msdtc.exe
LOAD_ORDER_GROUP : MS Transactions
TAG : 0
DISPLAY_NAME : Distributed Transaction Coordinator
DEPENDENCIES : RPCSS
: SamSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: MSIServer
Installe, répare et supprime des logiciels selon les instructions contenues dans les fichiers .MSI.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\msiexec.exe /V
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Installer
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: NetDDE
Fournit le transport en réseau et la sécurité pour l'échange dynamique de données pour les programmes exécutés sur un même ordinateur ou des ordinateurs différents. Si ce service est arrêté, le transport et la sécurité de l'échange dynamique de données seront indisponibles. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP : NetDDEGroup
TAG : 0
DISPLAY_NAME : DDE réseau
DEPENDENCIES : NetDDEDSDM
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: NetDDEdsdm
Gère l'échange dynamique de données partagées de réseau. Si ce service est arrêté, l'échange dynamique de données partagées de réseau ne sera plus disponible. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : DSDM DDE réseau
DEPENDENCIES :
: EGrLocalSystem
: DSDM DDE réseau
: DDE réseau
: tributed Transaction Coordinator
: ð6
: s messages
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Netlogon
Prend en charge l'authentification directe des événements d'ouverture de session du compte pour les ordinateurs dans un domaine.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP : RemoteValidation
TAG : 0
DISPLAY_NAME : Ouverture de session réseau
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Netman
Prend en charge les objets dans le dossier Connexions réseau et accès à distance, dans lequel vous pouvez afficher à la fois les connexions du réseau local et les connexions à distance.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Connexions réseau
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Nla
Recueille et stocke les informations de configuration et d'emplacement réseau, et notifie les applications quand ces informations changent.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NLA (Network Location Awareness)
DEPENDENCIES : Tcpip
: Afd
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: NtLmSsp
Assure la sécurité des programmes RPC (appels de procédure distante) qui utilisent des transports autres que des canaux nommés.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Fournisseur de la prise en charge de sécurité LM NT
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: NtmsSvc
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Stockage amovible
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: NUICP
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NUICP
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: OLXERHPG
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\DOCUME~1\sandra\LOCALS~1\Temp\OLXERHPG.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : OLXERHPG
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: PlugPlay
Permet à l'ordinateur de reconnaître et d'adapter les modifications matérielles avec peu ou pas du tout d'intervention de l'utilisateur. Arrêter ou désactiver ce service provoque une instabilité du système.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : PlugPlay
TAG : 0
DISPLAY_NAME : Plug-and-Play
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: PolicyAgent
Gère la stratégie de sécurité IP et démarre les pilotes de gestion de sécurité IP et ISAKMP/Oakley (IKE).
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Services IPSEC
DEPENDENCIES : RPCSS
: Tcpip
: IPSec
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: ProtectedStorage
Fournit un stockage protégé pour les données sensibles, telles que les clés privées, afin d'empêcher l'accès par des services, des processus ou des utilisateurs non autorisés.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Emplacement protégé
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: QHKHLE
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : QHKHLE
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: QNLASVFEDGZB
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : QNLASVFEDGZB
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: RasAuto
Crée une connexion vers un réseau distant à chaque fois qu'un programme référence un nom ou une adresse DNS ou NetBIOS distant.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gestionnaire de connexion automatique d'accès distant
DEPENDENCIES : RasMan
: Tapisrv
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: RasMan
Crée une connexion réseau.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gestionnaire de connexions d'accès distant
DEPENDENCIES : Tapisrv
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: RDSessMgr
Gère et contrôle l'assistance à distance. Si ce service est arrêté, l'assistance à distance n'est pas disponible. Consultez l'onglet Dépendances avant d'arrêter ce service.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\sessmgr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gestionnaire de session d'aide sur le Bureau à distance
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: RemoteAccess
Offre aux entreprises des services de routage dans les environnements de réseau local ou étendu.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Routage et accès distant
DEPENDENCIES : RpcSS
: +NetBIOSGroup
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: RMGIOZ
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\DOCUME~1\sandra\LOCALS~1\Temp\RMGIOZ.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : RMGIOZ
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: RpcLocator
Gère la base de données du service de nom RPC.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\locator.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Localisateur d'appels de procédure distante (RPC)
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\NetworkService
SERVICE_NAME: RpcSs
Fournit le mappeur du point de sortie et divers services RPC.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k rpcss
LOAD_ORDER_GROUP : COM Infrastructure
TAG : 0
DISPLAY_NAME : Appel de procédure distante (RPC)
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Reboot DELAY: 60000 seconds
SERVICE_NAME: RSVP
Fournit la signalisation de réseau et la fonctionnalité d'installation du contrôle de trafic local pour les programmes reconnaissant QoS et les applets de contrôle.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\rsvp.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : QoS RSVP
DEPENDENCIES : TcpIp
: Afd
: RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: SamSs
Stocke les informations de sécurité pour les comptes d'utilisateurs locaux.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP : LocalValidation
TAG : 0
DISPLAY_NAME : Gestionnaire de comptes de sécurité
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: SCardDrv
Permet la prise en charge des lecteurs de cartes à puce non Plug-and-Play héritées utilisées par cet ordinateur. Si ce service est arrêté, cet ordinateur ne supportera pas de lecteur hérité. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Prise en charge des cartes à puces
DEPENDENCIES : +Smart Card Reader
SERVICE_START_NAME: NT AUTHORITY\LocalService
SERVICE_NAME: SCardSvr
Gère l'accès aux cartes à puce lues par cet ordinateur. Si ce service est arrêté, cet ordinateur ne pourra plus lire de cartes à puces. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Carte à puce
DEPENDENCIES : PlugPlay
SERVICE_START_NAME: NT AUTHORITY\LocalService
SERVICE_NAME: Schedule
Permet à un utilisateur de configurer et de planifier des tâches automatisées sur cet ordinateur. Si ce service est arrêté, ces tâches ne seront pas exécutées à l'heure prévue. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : SchedulerGroup
TAG : 0
DISPLAY_NAME : Planificateur de tâches
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: seclogon
Permet le démarrage des processus sous d'autres informations d'identification. Si ce service est arrêté, ce type d'ouverture de session sera indisponible. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Connexion secondaire
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: SENS
Scrute les événements système tels que les ouvertures de session Windows et les événements concernant le réseau et l'alimentation. Avertit les abonnés du système d'événements COM+ de ces événements.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : Notification d'événement système
DEPENDENCIES : EventSystem
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: SharedAccess
Assure la traduction d'adresses de réseau, l'adressage, les services de résolution de noms et/ou les services de prévention d'intrusion pour un réseau de petite entreprise ou un réseau domestique.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Pare-feu de connexion Internet (ICF) / Partage de connexion Internet (ICS)
DEPENDENCIES : Netman
: NLA
: RasMan
: ALG
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: ShellHWDetection
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : ShellSvcGroup
TAG : 0
DISPLAY_NAME : Détection matériel noyau
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: SLService
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : slserv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SmartLinkService
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Spooler
Charge des fichiers en mémoire pour une impression ultérieure.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\spoolsv.exe
LOAD_ORDER_GROUP : SpoolerGroup
TAG : 0
DISPLAY_NAME : Spouleur d'impression
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds
SERVICE_NAME: srservice
Effectue des opérations de restauration du système. Pour arrêter ce service, désactivez Restauration du système dans l'onglet Restauration du système des propriétés du Poste de travail.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Service de restauration système
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: SSDPSRV
Active la découverte de périphériques Plug and Play universels sur votre réseau domestique.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Service de découvertes SSDP
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService
SERVICE_NAME: stisvc
Fournit des services d'acquisition d'images pour les scanneurs et les appareils photo.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k imgsvc
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Acquisition d'image Windows (WIA)
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: svcWRSSSDK
Provides core functionality to Webroot Spy Sweeper. This service must be enabled and started for Spy Sweeper to function.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Webroot Spy Sweeper Engine
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: SwPrv
Gère les copies logicielles de clichés instantanés de volumes créés par le service de cliché instantané de volumes. Si ce service est arrêté, les copies logicielles de clichés instantanés ne peuvent pas être gérées. Si le service est désactivé, les services qui en dépendent ne pourront pas démarrer.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{19BC5DA9-6015-474F-886C-A1E69ABBA835}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : MS Software Shadow Copy Provider
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: SysmonLog
Collecte les données de performances des ordinateurs locaux ou distants basés sur des paramètres planifiés préconfigurés, puis écrit les données dans un journal ou déclenche une alerte. Si ce service est arrêté, les informations de performances ne seront pas collectées. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\smlogsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Journaux et alertes de performance
DEPENDENCIES :
SERVICE_START_NAME: NT Authority\NetworkService
SERVICE_NAME: TapiSrv
Fournit la prise en charge des API de téléphonie (TAPI) pour les programmes contrôlant les périphériques de téléphonie, les connexions vocales basées sur le protocole IP, sur l'ordinateur local, via le réseau local, sur le serveur où ce service fonctionne également.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Téléphonie
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: TermService
Permet à plusieurs utilisateurs de se connecter en même temps à un ordinateur, tout en affichant les bureaux et les applications sur les ordinateurs distants. Contient les fonctions sous-jacentes de Bureau à distance (y compris le Bureau à distance pour les administrateurs), le Changement rapide d'utilisateur, l'Assistance à distance et le service Terminal Server.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Services Terminal Server
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: Themes
Fournit un système de gestion de thème de l'expérience utilisateur.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : UIGroup
TAG : 0
DISPLAY_NAME : Thèmes
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds
SERVICE_NAME: TrkWks
Maintient les liens entre les fichiers NTFS au sein d'un ordinateur ou de plusieurs ordinateurs dans un domaine de réseau.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Client de suivi de lien distribué
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: TUWinStylerThemeSvc
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe"
LOAD_ORDER_GROUP : COM Infrastructure
TAG : 0
DISPLAY_NAME : TuneUp WinStyler Theme Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: TWZCDN
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : TWZCDN
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: TYNUE
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\DOCUME~1\sandra\LOCALS~1\Temp\TYNUE.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : TYNUE
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: UMWdf
Active les pilotes en mode utilisateur Windows.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\wdfmgr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows User Mode Driver Framework
DEPENDENCIES : RpcSs
SERVICE_START_NAME: NT AUTHORITY\LocalService
SERVICE_NAME: uploadmgr
Gère les transferts de fichiers synchrones et asynchrones entre les clients et les serveurs sur le réseau. Si ce service est arrêté, les transferts de fichiers synchrones et asynchrones entre les clients et les serveurs ne seront pas possibles. S'il est désactivé, tous les services dépendant explicitement de ce service ne pourront pas démarrer.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gestionnaire de téléchargement
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 100 seconds
: Restart DELAY: 100 seconds
: None DELAY: 100 seconds
SERVICE_NAME: upnphost
Offre la prise en charge des périphériques hôtes universels Plug-and-Play.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Hôte de périphérique universel Plug-and-Play
DEPENDENCIES : SSDPSRV
SERVICE_START_NAME: NT AUTHORITY\LocalService
FAIL_RESET_PERIOD : -1 seconds
FAILURE_ACTIONS : Restart DELAY: 0 seconds
SERVICE_NAME: UPS
Gère un onduleur connecté à l'ordinateur.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\ups.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Onduleur
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService
SERVICE_NAME: UWAWCA
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : UWAWCA
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: VSS
Gère et implémente les clichés instantanés de volumes pour les sauvegardes et autres utilisations. Si ce service est arrêté, les clichés instantanés ne seront pas disponibles pour la sauvegarde et la sauvegarde échouera. Si ce service est désactivé, les services en dépendant explicitement ne démarreront pas.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\vssvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Cliché instantané de volume
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: W32Time
Conserve la synchronisation de la date et de l'heure sur tous les clients et serveurs sur le réseau. Si ce service est arrêté, la synchronisation de la date et de l'heure sera indisponible. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Horloge Windows
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: WANMiniportService
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\WINDOWS\wanmpsvc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : WAN Miniport (ATW) Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: WebClient
Permet à un programme fonctionnant sous Windows de créer, modifier et accéder à des fichiers Internet. Si ce service est arrêté, Ces fonctions ne seront pas disponibles. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : WebClient
DEPENDENCIES : MRxDAV
SERVICE_START_NAME: NT AUTHORITY\LocalService
SERVICE_NAME: WebrootDesktopFirewallDataService
Le Service de données Webroot Desktop Firewall coordonne la configuration du pare-feu, son activité, la journalisation des événements et les fonctions d’interface utilisateur pour tous les utilisateurs de votre ordinateur.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 2 SEVERE
BINARY_PATH_NAME : C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Webroot Desktop Firewall Data Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: WebrootFirewall
Le service de Webroot Desktop Firewall fournit la fonctionnalité centrale de filtrage de paquets pour le produit Webroot Desktop Firewall.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 2 SEVERE
BINARY_PATH_NAME : C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Webroot Desktop Firewall
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: winmgmt
Fournit une interface commune et un modèle objet pour accéder aux informations de gestion du système d'exploitation, des périphériques, des applications et des services. Si ce service est arrêté, la plupart des logiciels sur base Windows ne fonctionneront pas correctement. Si ce service est désactivé, tout service qui en dépend explicitement ne démarrera pas.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Infrastructure de gestion Windows
DEPENDENCIES : RPCSS
: Eventlog
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
SERVICE_NAME: WmdmPmSN
Extrait le numéro de série d'un lecteur multimédia portable connecté à cet ordinateur. Si ce service est interrompu, le contenu protégé risque de ne pas être téléchargé sur le périphérique.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Service de numéro de série du lecteur multimédia portable
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: WmiApSrv
Fournit des informations concernant la bibliothèque de performance à partir des fournisseurs HiPerf WMI.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\wbem\wmiapsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Carte de performance WMI
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: WT
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : WT
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: wuauserv
Active le téléchargement et l'installation des mises à jour Windows. Si ce service est désactivé, cet ordinateur ne pourra pas utiliser la fonctionnalité des mises à jour automatiques ou le site Windows Update.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Mises à jour automatiques
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: WUKPHH
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : WUKPHH
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: wwSecSvc
Window Washer Cleaning Service
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\wwSecure.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Washer Security Access
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: WZCSVC
Fournit la configuration automatique des cartes 802.11
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Configuration automatique sans fil
DEPENDENCIES : RpcSs
: Ndisuio
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: XIUETTBU
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : XIUETTBU
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
SERVICE_NAME: YWUEBXAQDFGIQ
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME :
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : YWUEBXAQDFGIQ
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
-
salut @ tous
Sandra, je détourne parfois les mots de leur sens premier: quand je dis "délirant" je fais allusion aux bruits de
mitraillette (merci a Tiana pour la soluce
), j'aurais du dire étonnant! Soyons clair:en aucun cas je ne me permettrais de me moquer d'une personne en détresse ou en difficulté! mon but est d'aider dans la limite de
mes compétences, aussi excuse moi pour ma remarque
Tout à fait d'accord malheureusement... comment remonter jusqu'à la source? c'est tres compliqué. Je pense
que la solution de tesgaz est encore la plus sage.
MAIS OU ETES VOUS DONC ?
j'avais besoin de réponse aprés avoir balancé un log crypté... , ou sont passés ceux qui tentaient de m'aider , personne ne me laisse de message !
Vous savez maintenant qu'il lit ou rapporte tous mes faits et gestes et qu'il est au courant de ce qu'il lit ici.
Le navire est subitement déserté !
Je continue à me connecter , espérant des réponses, des infos et tout le monde est parti !
Imagniez ce que je ressens : qui est derriére, pourquoi, dans quel but, pourquoi me surveille t'on ?
Et vous ne dites plus rien !
Je continue pour l'instant à me connecter, je suis épuisée et il doit être content de mon état, de cette angoisse de savoir qu'il connait tout de ma vie, alors qu'on ne saura jamais qui il est...
Cela me dégoute.
Je voudrais encore lui dire, qu'on ne peut pas le localiser, alors qu'il essaie de me faire savoir pourquoi il m'espionne !
-
Les options du message Activer les émoticônes ? Inclure ma signature ? Actuellement vous recevez les notications email lors de réponses. Les icônes de message (Facultatif) [ Aucun ] Les 10 derniers messages [En ordre inverse]SANDRA88Écrit aujourd'hui à 07h58 CITATION(SANDRA88 @ vendredi 03 février 2006 à 07h30) J'ai lu sur PC astuces "les logiciels espions" et ceci explique en partie ce qui m'arrive souvent :Comportement agressifLorsqu'un logiciel espionਜ⨬墳熄昇䖾펨簟鞻神⒇䃇⛘䶿័불ﰚ㝂㍎血Ӛ徤愁寯튴礫综⬟嚳㙱蹅㫚彷ꭁᐮ槓얠횜᮶練鮛筛櫷치㹏躵ꨦ″䳒钃퉏隄⛎⒝煄ᜍ隷㨼泖Ŗ야愒喍爭ꝭ껠얌쭑豵푗릭㵵鉃턔庑䚸뢅닟腻ⷮ寑뙔ǐ쑘춍筋ة喙ᕆゴ왴埽낖䈞땸妚観⡟⚵弓횓笢编隷⧂掱ꐯꦣ‽닸옅⮼ᔬ᭷ḯ阠⇚㨂롔쎶铖ǝ獀⦬⟸⤝㗚ﻋꨘ羱铀ꛭᬕ欛쾚誯㖼넧휅펭⛫ɽ顱酼⺢Պᱳ刮槁դ꾍菦齨᳣戨쒃鬄阃臭⟜妥銿ņ癖ᓮ앑Ⱑ鼪聺嗯쳑錀븑밯ⷾ졗༺ꮡϲ器卒媃䁯崡藨潢趁ᦥ罱廴氖养▭깑ῗ젽ᛯꯉ瓀띍튈即㻫䈺䅕쭆객鹹룾葵濹퇣뫱隙ভ飆䫜밢穰긭ؿ␈曇ዡ밡ㅦ눻繖핸죄鏂ᯐທ冘䎒ꓐᾬ憎텈㙈㤷꿄휉䫳焷뷂੯扩䃦턵㉥慥⒰财ꮫ嵖癉龞⟎胅ԓ銨䋴㽢⥷༟炔퐊⫄耋簚佹ꖌ紝짚雃㻌씇毉⧺웚ᓔ읖굯银᩻洧ꩪ㪔駺康쉰섨鸺࣡놭酭⽤〆벩艼쎷簻퓗蛮ඩ榙㭼跲㧞탲ꕶĶ㎇䛌迼꾱些樃쁉ꈆク科檼ﲡ荮詓鋘Э깻쑪鍼⣒䱳唕䳘縚瑇ྲ趰贃ᓴ䀓솬쐡ꁒ꥟餿끁䫣뻠岨黢劻潭뾵㢃瑽褡ﳻ诨馔㜲苀ճ䊈ﭩ⸸덵쵟諒⩚骱ꇹ⪃㘙㊾$ゼꛉ栨헟묄㵛뱛戃뜿瀨橦爰迌縟㧽埬뚜냏Ǜ퉛⥿ᩮ癓㻈ৰ꣱᛬妁㘽갊쒴ᐣ掐묠⦤ស꧐㠔न昶‘ᶋ肄嵝䗧Ⲭ䖽譗耚窬ꆑꚊ귚ᇗ퉺楌雈硽ŷ䙃杗ꐍ諊껻籋獚㙚썊鐛氼㿫쳬噿鰭᰷殄ᩣ氪ᥖ뜞皘챃鼝螂㌩䵑茦墆䟏锭ᬥy䤬㣓ᅆ٭形볐ҟ伨칧䒛퍁귡牒쮷ጼ궪㿁궖῞瀃딴⎍钇蠍䖺玃Ԭ倶枞럑ﰹŶ㨪癷뉞깇鬓苛ᰫ랦䈇䅔༠뎾쪧蕹㶯襹뿘馸၄⿏嬯簱亦◆뛤뒍咉㇁푳毺缤澂䚈嫱茄嘸쳻ﯯ㌇뺅뒮ᬣ눊ꎮ隒ꆧ涗洖秲殚롭㸝묔䤺뗴櫕Γ้歩㉷羽絘ㆠ魃꧓㽨鿒挢齅跼踢鈡໋Ẩ乵ﻅ柸쁲ἕð㦻䫹掳ၣ臋섶鼕愩埃箯铘⊱ǜ놸ⴓᖅ披륳㿳륔ҙ㱀ᅎ鷺풶ﰀ㏘븅諤됆꞊潝陇儊鈗岍៶㠄厊经絪ﵓ毌吲歱睎鴦ꑲ攗㬰曆吤녒?薗렶잊ᚴ龞镑샧⇖퓲ḯ疐夺天쩠ﺛ㸖洇砀徂㨆㒶㸒댎翣ꉋ롷㞅쐈侄ㄆ않醙ࠋ㗶潍എ僞쪦仙縇Ὰ⠺ᷯ痥ⲝ莽흴춸쉾덴Ꮒ职Ӳﱺ繵浪㠜뀛ꌈ쩳ŋ楸髨ར쌷낕ꟹ蟫좎懟涝癃ጅ픾圱镋ᗀ鴤㐽是膸礁緙㯧ዧ綧ᮄ歖悆ﶧ䮱伕ⷤ廛輩ᘟ祃䐎菦췺꾽ꆆ⒑仠뤠缚Ꮳ序欗ୄ轫㶚䑾溨訳㥙䋁我ꪶ謗≺鳢붃版煳鿇釄䓗탕⺾ய䃬廎㾀謉쬧圄犯ଢ춘ᱮ顉㉆爫Ꮘ鑑桨ꋳ볔폚顴벥ԑ漮錧쎿՝堒骘∡愬噲᭔桋䦚躲魺ꅺ呬ꖸ㺟ႁ䞩蜿牑칎姅❶✍ӷ⣊夔㉼憛沷挀怫㉻蔧耷ႄ憋戀릾껍⎚涹縷㵗켱ꛂჷ까譣兆屴鋖쫔胍ꮿᓬ螵㓪疰Ᏹ鐓鳘ᄟ踛✷⥀옙㫏蘃띨✱귢হ㢙倢臝⫉ᦈ䧑봄羚骛쨉ሻ쯴嶺굦龄◝艃ᯧ蛴ꪬ瀐⯃⢞㪁즸婟軽„兹㎺캧Ґ䛁奚ↄ譔窍밙릶놦纤 䢍⣖纜纑졃▏柳됑쥏떝琡꼓吠㌩㱰皁긤ﺴ娈鑻汩⤯캓禂ᖧ펶ⷀ됭慅廬崿鍑馽蔒죕抆컐韲㊣륏隴浌먭輚ᇟ㴯秗≼溓鉨夔掳ኩಗ㜸铆Ǟ旗妜圉˚츒㪩胳⬙㜊寣깍㺑鼱䚑갓꺋I䢁簰ᓇ忖១墓㕵䂧迆ݷ毣辆᱁闕ᜳ㕝超忝蒲暈䤅껬쩴ꦧ矗⡎幸وク婮佹裢혈棧ˆ띇冠햂濨㱡ƒ倶ꗺ韘♔瞄쯁䑗ⴌ殍㶭ↆ牑ﻯ䏆觹谔䛐椬㩲埪鷆罪쁉䔜믱绳㕙豸ኚ䀩㺛駑뚁㬍丸깙昪浇锵칏㳁穚Ữ仲᮷ꛝ톳셦ⶋ銹柔㖠ꊉ᠊鍩路鞊碳₧횈㳗ꨯ岎뺉ᖇ콉鴈긄ڷΫ鋦덋퓺鐜逷됳휕ⴔ껮ᦏ컼ꙭꆾﺬ됓䧢᠁⋑鰷㊼묱끑좆흈溦㬜蔼奛Ꮙ吝頛眰ꞿ笰匧絆鐴舕絬袎ߋ㩴㡖犎囉俦ቜ㫂써뛠샭鱶㨙桫υʰ駭킓℞헷⁏ꌹꗏ诱璉쑓鋰᪤륤弿톫菱ꕣ숖悒㞾鳈먔腫ᰫ歑볤ꇏ贩隂눾ኪ陿杭帘ה좤稒ở螠ྩ丞홡캭햆왱炃햓龘禄⏇喇ꃝ谶㡰❉淙훦샧믉굔⡺ᅷ呭⡼꒾吪쬁丐ዥℰ轩䴆䅌쐩먷搗锄ⓖዼࠛ⌚Ԋꋿ픜唳럸렷俿ฯ㑰ᶳᚱ퉲懷퀗ᐄ붎룙讞뎡蕳ါᇩ퇴欞檫쵳ᐥꌈ酳⑄罉㬒슮슚叾㷘⫠粡崞嚜꒚ڈ᎙코쳒珁戧䤇劕襈귶ᚵ畛꒸嶳쉗믷ẅﶍ፳㶂ົ㚄泜嚌⸰湞뗤疉曆듲쫔跖馱乫棪貟䟼귡쐲꽨骝㈈㢦낓⩉⪼迹⨈㻙穵⬖Ꟃꏉ㽴졸︖踳첤⟷柢嚌醋怪耸撨疥鱢뜪뼮鉪⣷䄍⌜毲뱮レᄗ眗阗⛗ਲ鮭כ致ℬ脟㶘俛ೆ㋤鈱犦䔛䉗힅デ受蕚ലꔜ켔㊶㻸愵ᓬᴃ쾠렅ډ鿣籦⡎⧤吼䛾ℇ皜먿좖ʝ떁䤒ᐩ㦶휺ﻏ䪾丫랽ꃴ٬돖᷾㣝쭢뼺鐖紛찢Ӷ晢碡ł샏ퟆ旹ݷ
樯䯥牬臠㨵狀ຊ殩笶黩ἰ쐺耔击槒ᛁꌥ虗毧䷸⬂ᩲ吸쁎⾉స띴랫竨蓃嘮簓㟒营擋钣龕ੴ披悙⽍貹悡ﷺﻙἶ奣竌ᯫ櫫Ρ瞧栽䀯㮡籬ৄꑸ絻ꋑ欂倹鈆摑尦퐄ࢄ⟏뜽┋镑橬귂絷ꊂ᱁辁缞韙ᝢ〤걝퓶䈒弍ꮺ䏀湤ட꼛꫱㲇䡃ᴶӪ꽘ຶ£斲杫뫴莲⋦㕾냌꣒捑佧ヨ랣埭덓ꨍﺱ凬뚍䂟ꯀग़粃搑ᘮᏁ㥹⬰뱚螟붘봏⊗阘芼殄⯴ꍞ′䡯뽝킢㑐願㵛箖ᏼ흏撣檉⾓ⱞ앹ꡀ鐏ቯ瀊䑀
Messieurs, nous avons ci dessus la preuve que je suis piratée: le message ci dessus comporte prés de 200 pages cryptées qui se sont dévoilées en partie sur votre forum !
Ce personnage rend compte à quelqu'un de toutes mes activité s sur le net et cela depuis plus d'un an et demi . J'avais vu des fichiers similaires auparavant, sans savoir ce que c'était. Grace au forum et une partie du décryptage, un gendarme sort d'ici et constate l'authenticité de mes affirmations.
Quand aux dysfonctionnements ce serait aussi des virus, mais ou sont t'ils donc ?
Je voudrais dire au pirate qu'il me contacte directement pour m'annoncer ce qu'il cherche vraiment.
Par contre, si ce sont les autorités, avec qui je suis en bons termes, je reste à leur disposition pour ce qu'ils savent et que le pirate connait bien.
Dans ce cas, des mois de tracas, de nuits blanches pour finalement être fiére d'intéresser bien du monde, nous en avons la certitude ce jour.
Si quelqu'un pouvait dégrypter les logs, ce serait bien de me le dire. Il y a peut être des rajouts personnnels du monsieur en question, je serais curieure de lire cela à mon tour.
Je voudrais espérer qu'il me contacte, pour me rassurer car le sujet qui l'intéresse tellement est ma passion.
Je pense que je suis la seule sur ce forum à vivre une telle expérience. Alors merci à vous, MAINTENANT JE SAIS;
Beaucoup de suspicions sur la ligne téléphonique, un probléme récurrent qu'il faudrait exploiter dorénavant.
On peut tout imaginer dorénavant, reste à savoir qui et derriére et pourquoi ????
Voilà des lignes qui vont alimenter votre prochain log monsieur, avant que je ne formate le tout d'ici peu.
J'attends des nouvelles de votre part, vous avez TOUS les élements de ma vie, mon projet de livres, mes souffrances, mes confidences.
Oui on se sent violée dans sa tête, j'espére que vous aurez un peu de compassion pour ma vie à la ZOLA.
Quant à la justice, monsieur, elle n'a pas les moyens de vous retrouver et vous en profitez.
Je voudrais qu'il me dise si fait cela pour de l'argent ou par simple curiosité.
je suis soulagée mais le piratage est interdit il me semble ?
Messieurs, nous avons ci dessus la preuve que je suis piratée: le message ci dessus comporte prés de 200 pages cryptées qui se sont dévoilées en partie sur votre forum !
Ce personnage rend compte à quelqu'un de toutes mes activité s sur le net et cela depuis plus d'un an et demi . J'avais vu des fichiers similaires auparavant, sans savoir ce que c'était. Grace au forum et une partie du décryptage, un gendarme sort d'ici et constate l'authenticité de mes affirmations.
Quand aux dysfonctionnements ce serait aussi des virus, mais ou sont t'ils donc ?
Je voudrais dire au pirate qu'il me contacte directement pour m'annoncer ce qu'il cherche vraiment.
Par contre, si ce sont les autorités, avec qui je suis en bons termes, je reste à leur disposition pour ce qu'ils savent et que le pirate connait bien.
Dans ce cas, des mois de tracas, de nuits blanches pour finalement être fiére d'intéresser bien du monde, nous en avons la certitude ce jour.
Si quelqu'un pouvait dégrypter les logs, ce serait bien de me le dire. Il y a peut être des rajouts personnnels du monsieur en question, je serais curieure de lire cela à mon tour.
Je voudrais espérer qu'il me contacte, pour me rassurer car le sujet qui l'intéresse tellement est ma passion.
Je pense que je suis la seule sur ce forum à vivre une telle expérience. Alors merci à vous, MAINTENANT JE SAIS;
Beaucoup de suspicions sur la ligne téléphonique, un probléme récurrent qu'il faudrait exploiter dorénavant.
On peut tout imaginer dorénavant, reste à savoir qui et derriére et pourquoi ????
Voilà des lignes qui vont alimenter votre prochain log monsieur, avant que je ne formate le tout d'ici peu.
J'attends des nouvelles de votre part, vous avez TOUS les élements de ma vie, mon projet de livres, mes souffrances, mes confidences.
Oui on se sent violée dans sa tête, j'espére que vous aurez un peu de compassion pour ma vie à la ZOLA.
Quant à la justice, monsieur, elle n'a pas les moyens de vous retrouver et vous en profitez.
Je voudrais qu'il me dise si fait cela pour de l'argent ou par simple curiosité.
je suis soulagée mais le piratage est interdit il me semble ?
Les options du message Activer les émoticônes ? Inclure ma signature ? Actuellement vous recevez les notications email lors de réponses. Les icônes de message (Facultatif) [ Aucun ] Les 10 derniers messages [En ordre inverse]SANDRA88Écrit aujourd'hui à 18h28 CITATION(SANDRA88 @ vendredi 03 février 2006 à 08h08) Les options du message Activer les émoticônes ? Inclure ma signature ? Actuellement vous recevez les notications email lors de réponses. Les icônes de message (Facultatif) 䉃莪䷾&墳熄昇⳦ꌥ簟鞻神⸾킌ݦꔛ惣崙㱣⤱쑛粒Ӛ徤愁맅₤䔓뢪䏈휜ꈕ며銙큮灧룸毯贠뤶蠊䡚樧ꮍ圚㜁쓪旭㨄殷冰謲櫦䎝킬甑옳쇁枵鄱昽떶甦は纣騾ᆵ쫸쒿欎녓幼䛇眊ⱦ߭涅儡鑍僊̏ѣ钢ʔ㤡⯤㤠梟屿姲徵㋪谄軅觳&诩⌍嗒푀凤심픧㗡阰慓鳣ῴ䒲삨ॡ鐫㭅砒܅䢠ﵤꜯ芽⦝ൟⲹ≕ରꥀ⊨S럽몔毲ᵔ앥㤬鼑嶞␕퐞ꕞሻ펠鶬쇃ꎕஒ蜩遘雳溙魗戣ㅯ䩪ꦖఽ릅ᐃڣ㞅ﰒ羽圣ꣲ맒웦쮔䷣槖㥃闐脆☌鬎ꀟ麜⾏흢籯搑蠡菑폇▥䀷난凡ޫᝬ餀胬넪꿐훼ᣔ竴㝄詽∍蚂痆Ꞁ勡蹰蠃喭琞骑숓ⱹ㓋⃩嚈䠗帼ⓒ只瓒ᐊ랶♾゚뱯ꗀ愙怜暢㯾箾ᯄᓲ㛃ꈨ꒲蛫┷↼췽㚱攨洞㪪쥋䗈邐놑彬怱뮈㩽獿䙸䲸ﬧ祺ڨぶ쑊媉粲,箯㏢랲⫁兇桪ᮚ퀀碜㧶願棚✞堁頝똍띎熸繊媬氚ᡌ嶼뛌㠦礃盄헏쮞鎆搂큎姺嵤官滘X焃䲢⻘빻螡勥彳獑炻ǭ♃ⴀ껵ዓ歞⨨ᖽ䘂ӡ嫨雯休࠳鸎Ṹ✟癢鏅&跼潸㬞醫噾轻䑍㦬뙈뭽⌈ᶇ㤯䂘Ǖɴ絓敿껯晽톘槛꽐뀄๒叿槿ᡵⴐ슛죪옾ꎴ齽䔴ƣ忾꽥䵓嘗㕮쪦⮼왊魙쐁夥텷芶䛺襃䁦鱰뙝ꍧో皗찬즓႟唉﷏㋵ꚑ뫮菋퇣ᑦ㧴渪른ﵣ㣮갰摿㙂圢⒧Ⱥ邓껗ꆼ掾췃༟䴈횰蛒皜㬗轔싫ꑞ朷뭿⛧䟔例碒䙤ﬓ뵭倕桨挸㱅顈楐Ⴄ롁ᲈਝ此㜍斒놯ﭵ嚞⁐㹬ܨ襑톭碖痃遲滈叹笅ႝ젾䍧؝Ლ༷롢셦꺾䣩눰䏦釨親Ή뿦ꎜ〉䔻骏孝桔怠ᭌ㪿ℾ걄좇컉韟星⬓㒅汾c鈍䞎癷꿽삇䙹哣ຸ噒⫇犨氞琔獄氛桖沔ꩲ皱돩咣鵊醄悑ɭ켒췻鰦麲핪Ꮽꅑ뇿樥禩მ㝖ڷ浈숙각垬ᆗ쥫⼖导龻㧉愁䀽鴩꽇䲫ﭷ⮇䁒䔀㓄ʈ鲡靟懋왝몳借슘汾띱粁ሇ全隀㼟䤋✑瀐촋宝ड़싫廥篫ꭄ㫊핣ᓠ㌩㖝뀬䧭띶孹Ꮏ훓៍掔虍̘呛̢䭠곉ꍝ⤭駹㔼㑁淣ꊠ陷橠뒡૬㰔넶注!楃䯥⌫繈侻儯ꄏ믇ᆱ넴ꤕ眍뭫輧ﵯ᭦㴫銄尦爥鰨逦①䡈廌ʤﴨ䔰ോ勄즈帀歴⌤杈ⅷ젳ව䢸鬶U옞酻뻠崱죿ⴸ뇂䔯ᵅꪒ뀷敧崨Ⅽ颵耢벇ཛꄶ퉮ꘚ?ⲍ쿬澨儨瀥ᔿ拙ᮙ൪駂皺腘╮䙾嗔洖죰뒡텮画⌮崍Ꮣẩᑚ䛏뼓嗳ᡐ簨쳜큣螱枌閩됇᥉㴤嘊䜜သኮ쇃띣툤遱䖋鄑苝왃繢˿쓋㥅歼丼௩苬飍Ḡ㮝ガ릞Ýᔓ㒦鱺邇ꨘ䋄仠㸺ꊒ獱羸蓪茉攢䴹⺫న뺳쀝絆潯Ⳟ륕㑌浒㗩쁕т惦몉粱慰掜嫡궉࠵盘羄ম욥ﵣ⑤⏗蒂→⧖㔡蹿H횀뮩윫㉹㺴뤔䇫鰴뾆懴瓨㚭솱䯉否밣ᭋ䤓凴溍뗃ẦWꠁ灻즿ܣៜ큡몙괻ềꑅ⍹勎彠鍏礪ெ膤饝赐⇹揟␌⯯㒵椕ᵌ䮾턇討愩ͣप캀溛蠭㒥ﮂ穜怎玧ꩽ⿰盗ᆜ趬읔ꌸ䈦딖璩딴㔊挞̭롴룧↓즦ꐶ䇯ᔱ敲᭩꠰诔⨔㳖욑◎祔纃拐ꔥ慿ᶽ噶홤ቮ︘뻔錹⦦芆ⴢz᮰ܝ祉㈏ࡷꋜ낺⟢끩殶挙恰䚜詟娢Ⱳㅞ榚濦基㫶똒聶뽙䩙ꬂ컄⭙䏸㵷ꤗ앮뼀觓ꎢꀴ䞃咢Ǔ燋ﰇ꽳R䅁聊ल긊㘢Ծ맅䔸锥戢⍟갂㊞ﲈ让丱ﵗ䨶ᘸ䪍覔衖ꄀ誘뱤뜳炙■卖䈱鎴㑯앭포堉㙮ጒ왌︱ꇠ쁎뮘䯻ퟠ⒲ග릂ഡ쓊ைヹ宐滹霛㻆找䏣娥ț鐗喊聄ᆐ됫䞒聕뫨䉋剻竧ෂ䌎䓎⌺냕ﻼꊞࡆꗛጶ塞羦旯⨔䎰碝밴㽟㷋릂멚H뤋⠒㺮客嘻沓塕㈎Д▕紈厙欩䉷▬⧳敯蛈抱୕튿ᧉ⠎힋쀑砦ﮉ顣ᜉ魦ඊ作ꀈጘ恊箽ผ꿴䑯钀霮왰濩뤇釂䬓ﵕ腂收ⳇ겱勰ᗔ䣾臨ꦡ昦䜭⺽㩭傓㊘ݺ᪔ࡗ⟛謁俌洛ﳙ榸ᮍᢤ꒕椟բ庿糡㦒㭷宜眒㺂줺ꎼ쵻렐潔푡由ﺪで늒玲馪섭溇躧镲鶿叱傥䅍澑椩ᶭ䴍릭Ⴋ꒭䝏僦뮨ᢡ䘨繾ᣓ槽ꍃ蚞臜Þ握蜰험餘㖙텼래拴䙹荆գ궐諾么წ墳堖뇥䝲琮赋孯㖛貎骯➓綔➙繛䴴䵃Ꞧ뵴癋㙬ࡿ樃욠Ⅳ镬䂝䥶쿧윦ሂ詀紧푹盺티㛿韹ࢮ濻ᮥ콖헖㩖艞ᒕ⍹ﲉ물㟷퇘瓝ᭊ打㸃澴찶倛莇و난쁖큣圖穳麓᧙냥ꁔ
-
tout frais... (je n'avais pas vu les réponses plus haut)
Prenez votre temps, c'est déjà bien sympa de vous en occuper.
Logfile of HijackThis v1.99.1
Scan saved at 07:54:18, on 03/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\sandra\Mes documents\Monitor.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Antipub\antipub.exe
C:\WINDOWS\System32\wwSecure.exe
c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\slrundll.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WebrootDesktopFirewall] C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t
O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37480.cab
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BYBBLC - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\BYBBLC.exe (file missing)
O23 - Service: EX - ewido networks - (no file)
O23 - Service: GXEJAIMMS - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\GXEJAIMMS.exe (file missing)
O23 - Service: NUICP - - (no file)
O23 - Service: OLXERHPG - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\OLXERHPG.exe (file missing)
O23 - Service: QHKHLE - Sonic Solutions - (no file)
O23 - Service: QNLASVFEDGZB - Sonic Solutions - (no file)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TWZCDN - TuneUp Software GmbH - (no file)
O23 - Service: TYNUE - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\TYNUE.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Webroot Desktop Firewall Data Service (WebrootDesktopFirewallDataService) - Webroot Software, Inc. - C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe
O23 - Service: Webroot Desktop Firewall (WebrootFirewall) - Unknown owner - C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe
BYE
Les options du message Activer les émoticônes ? Inclure ma signature ? Actuellement vous recevez les notications email lors de réponses. Les icônes de message (Facultatif) [ Aucun ] Les 10 derniers messages [En ordre inverse]SANDRA88Écrit aujourd'hui à 07h58 CITATION(SANDRA88 @ vendredi 03 février 2006 à 07h30) J'ai lu sur PC astuces "les logiciels espions" et ceci explique en partie ce qui m'arrive souvent :Comportement agressifLorsqu'un logiciel espionਜ⨬墳熄昇䖾펨簟鞻神⒇䃇⛘䶿័불ﰚ㝂㍎血Ӛ徤愁寯튴礫综⬟嚳㙱蹅㫚彷ꭁᐮ槓얠횜᮶練鮛筛櫷치㹏躵ꨦ″䳒钃퉏隄⛎⒝煄ᜍ隷㨼泖Ŗ야愒喍爭ꝭ껠얌쭑豵푗릭㵵鉃턔庑䚸뢅닟腻ⷮ寑뙔ǐ쑘춍筋ة喙ᕆゴ왴埽낖䈞땸妚観⡟⚵弓횓笢编隷⧂掱ꐯꦣ‽닸옅⮼ᔬ᭷ḯ阠⇚㨂롔쎶铖ǝ獀⦬⟸⤝㗚ﻋꨘ羱铀ꛭᬕ欛쾚誯㖼넧휅펭⛫ɽ顱酼⺢Պᱳ刮槁դ꾍菦齨᳣戨쒃鬄阃臭⟜妥銿ņ癖ᓮ앑Ⱑ鼪聺嗯쳑錀븑밯ⷾ졗༺ꮡϲ器卒媃䁯崡藨潢趁ᦥ罱廴氖养▭깑ῗ젽ᛯꯉ瓀띍튈即㻫䈺䅕쭆객鹹룾葵濹퇣뫱隙ভ飆䫜밢穰긭ؿ␈曇ዡ밡ㅦ눻繖핸죄鏂ᯐທ冘䎒ꓐᾬ憎텈㙈㤷꿄휉䫳焷뷂੯扩䃦턵㉥慥⒰财ꮫ嵖癉龞⟎胅ԓ銨䋴㽢⥷༟炔퐊⫄耋簚佹ꖌ紝짚雃㻌씇毉⧺웚ᓔ읖굯银᩻洧ꩪ㪔駺康쉰섨鸺࣡놭酭⽤〆벩艼쎷簻퓗蛮ඩ榙㭼跲㧞탲ꕶĶ㎇䛌迼꾱些樃쁉ꈆク科檼ﲡ荮詓鋘Э깻쑪鍼⣒䱳唕䳘縚瑇ྲ趰贃ᓴ䀓솬쐡ꁒ꥟餿끁䫣뻠岨黢劻潭뾵㢃瑽褡ﳻ诨馔㜲苀ճ䊈ﭩ⸸덵쵟諒⩚骱ꇹ⪃㘙㊾$ゼꛉ栨헟묄㵛뱛戃뜿瀨橦爰迌縟㧽埬뚜냏Ǜ퉛⥿ᩮ癓㻈ৰ꣱᛬妁㘽갊쒴ᐣ掐묠⦤ស꧐㠔न昶‘ᶋ肄嵝䗧Ⲭ䖽譗耚窬ꆑꚊ귚ᇗ퉺楌雈硽ŷ䙃杗ꐍ諊껻籋獚㙚썊鐛氼㿫쳬噿鰭᰷殄ᩣ氪ᥖ뜞皘챃鼝螂㌩䵑茦墆䟏锭ᬥy䤬㣓ᅆ٭形볐ҟ伨칧䒛퍁귡牒쮷ጼ궪㿁궖῞瀃딴⎍钇蠍䖺玃Ԭ倶枞럑ﰹŶ㨪癷뉞깇鬓苛ᰫ랦䈇䅔༠뎾쪧蕹㶯襹뿘馸၄⿏嬯簱亦◆뛤뒍咉㇁푳毺缤澂䚈嫱茄嘸쳻ﯯ㌇뺅뒮ᬣ눊ꎮ隒ꆧ涗洖秲殚롭㸝묔䤺뗴櫕Γ้歩㉷羽絘ㆠ魃꧓㽨鿒挢齅跼踢鈡໋Ẩ乵ﻅ柸쁲ἕð㦻䫹掳ၣ臋섶鼕愩埃箯铘⊱ǜ놸ⴓᖅ披륳㿳륔ҙ㱀ᅎ鷺풶ﰀ㏘븅諤됆꞊潝陇儊鈗岍៶㠄厊经絪ﵓ毌吲歱睎鴦ꑲ攗㬰曆吤녒?薗렶잊ᚴ龞镑샧⇖퓲ḯ疐夺天쩠ﺛ㸖洇砀徂㨆㒶㸒댎翣ꉋ롷㞅쐈侄ㄆ않醙ࠋ㗶潍എ僞쪦仙縇Ὰ⠺ᷯ痥ⲝ莽흴춸쉾덴Ꮒ职Ӳﱺ繵浪㠜뀛ꌈ쩳ŋ楸髨ར쌷낕ꟹ蟫좎懟涝癃ጅ픾圱镋ᗀ鴤㐽是膸礁緙㯧ዧ綧ᮄ歖悆ﶧ䮱伕ⷤ廛輩ᘟ祃䐎菦췺꾽ꆆ⒑仠뤠缚Ꮳ序欗ୄ轫㶚䑾溨訳㥙䋁我ꪶ謗≺鳢붃版煳鿇釄䓗탕⺾ய䃬廎㾀謉쬧圄犯ଢ춘ᱮ顉㉆爫Ꮘ鑑桨ꋳ볔폚顴벥ԑ漮錧쎿՝堒骘∡愬噲᭔桋䦚躲魺ꅺ呬ꖸ㺟ႁ䞩蜿牑칎姅❶✍ӷ⣊夔㉼憛沷挀怫㉻蔧耷ႄ憋戀릾껍⎚涹縷㵗켱ꛂჷ까譣兆屴鋖쫔胍ꮿᓬ螵㓪疰Ᏹ鐓鳘ᄟ踛✷⥀옙㫏蘃띨✱귢হ㢙倢臝⫉ᦈ䧑봄羚骛쨉ሻ쯴嶺굦龄◝艃ᯧ蛴ꪬ瀐⯃⢞㪁즸婟軽兹㎺캧Ґ䛁奚ↄ譔窍밙릶놦纤 䢍⣖纜纑졃▏柳됑쥏떝琡꼓吠㌩㱰皁긤ﺴ娈鑻汩⤯캓禂ᖧ펶ⷀ됭慅廬崿鍑馽蔒죕抆컐韲㊣륏隴浌먭輚ᇟ㴯秗≼溓鉨夔掳ኩಗ㜸铆Ǟ旗妜圉˚츒㪩胳⬙㜊寣깍㺑鼱䚑갓꺋I䢁簰ᓇ忖១墓㕵䂧迆ݷ毣辆᱁闕ᜳ㕝超忝蒲暈䤅껬쩴ꦧ矗⡎幸وク婮佹裢혈棧ˆ띇冠햂濨㱡ƒ倶ꗺ韘♔瞄쯁䑗ⴌ殍㶭ↆ牑ﻯ䏆觹谔䛐椬㩲埪鷆罪쁉䔜믱绳㕙豸ኚ䀩㺛駑뚁㬍丸깙昪浇锵칏㳁穚Ữ仲᮷ꛝ톳셦ⶋ銹柔㖠ꊉ᠊鍩路鞊碳₧횈㳗ꨯ岎뺉ᖇ콉鴈긄ڷΫ鋦덋퓺鐜逷됳휕ⴔ껮ᦏ컼ꙭꆾﺬ됓䧢᠁⋑鰷㊼묱끑좆흈溦㬜蔼奛Ꮙ吝頛眰ꞿ笰匧絆鐴舕絬袎ߋ㩴㡖犎囉俦ቜ㫂써뛠샭鱶㨙桫υʰ駭킓℞헷⁏ꌹꗏ诱璉쑓鋰᪤륤弿톫菱ꕣ숖悒㞾鳈먔腫ᰫ歑볤ꇏ贩隂눾ኪ陿杭帘ה좤稒ở螠ྩ丞홡캭햆왱炃햓龘禄⏇喇ꃝ谶㡰❉淙훦샧믉굔⡺ᅷ呭⡼꒾吪쬁丐ዥℰ轩䴆䅌쐩먷搗锄ⓖዼࠛ⌚Ԋꋿ픜唳럸렷俿ฯ㑰ᶳᚱ퉲懷퀗ᐄ붎룙讞뎡蕳ါᇩ퇴欞檫쵳ᐥꌈ酳⑄罉㬒슮슚叾㷘⫠粡崞嚜꒚ڈ᎙코쳒珁戧䤇劕襈귶ᚵ畛꒸嶳쉗믷ẅﶍ፳㶂ົ㚄泜嚌⸰湞뗤疉曆듲쫔跖馱乫棪貟䟼귡쐲꽨骝㈈㢦낓⩉⪼迹⨈㻙穵⬖Ꟃꏉ㽴졸︖踳첤⟷柢嚌醋怪耸撨疥鱢뜪뼮鉪⣷䄍⌜毲뱮レᄗ眗阗⛗ਲ鮭כ致ℬ脟㶘俛ೆ㋤鈱犦䔛䉗힅デ受蕚ലꔜ켔㊶㻸愵ᓬᴃ쾠렅ډ鿣籦⡎⧤吼䛾ℇ皜먿좖ʝ떁䤒ᐩ㦶휺ﻏ䪾丫랽ꃴ٬돖᷾㣝쭢뼺鐖紛찢Ӷ晢碡ł샏ퟆ旹ݷ樯䯥牬臠㨵狀ຊ殩笶黩ἰ쐺耔击槒ᛁꌥ虗毧䷸⬂ᩲ吸쁎⾉స띴랫竨蓃嘮簓㟒营擋钣龕ੴ披悙⽍貹悡ﷺﻙἶ奣竌ᯫ櫫Ρ瞧栽䀯㮡籬ৄꑸ絻ꋑ欂倹鈆摑尦퐄ࢄ⟏뜽┋镑橬귂絷ꊂ᱁辁缞韙ᝢ〤걝퓶䈒弍ꮺ䏀湤ட꼛꫱㲇䡃ᴶӪ꽘ຶ£斲杫뫴莲⋦㕾냌꣒捑佧ヨ랣埭덓ꨍﺱ凬뚍䂟ꯀग़粃搑ᘮᏁ㥹⬰뱚螟붘봏⊗阘芼殄⯴ꍞ′䡯뽝킢㑐願㵛箖ᏼ흏撣檉⾓ⱞ앹ꡀ鐏ቯ瀊䑀
-
J'ai lu sur PC astuces "les logiciels espions" et ceci explique en partie ce qui m'arrive souvent :
Comportement agressif
Lorsqu'un logiciel espion est installé sur votre ordinateur, il fonctionne même si l'application avec laquelle il était livré n'est pas ou plus utilisée. Ceci consomme des ressources systèmes, mais également de la bande passante et peut causer des ralentissements, voir des plantages.
Afin d'éviter leur suppression, certains spywares n'hésitent pas à masquer leur processus pour ne pas qu'il apparaisse dans le Gestionnaire des tâches de Windows voir même à désactiver votre connexion Internet si vous essayez de les supprimer !
Un logiciel espion a tout simplement les mêmes privilèges que l'utilisateur qui l'a installé (volontairement ou non).
Je veux croire que Charles fait de l'humour en employant le mot "délirant" car c'est plutôt péjoratif quand on espére trouver une solution sur un forum.
Si ce n'était pas le cas, qu'il me donne un moyen de le contacter pour envoi d'un CD, constituant les preuves pour une suite éventuelle, aprés avoir déjà vu la gendarmerie.
Un forum explique que sans préjudice financier, on n'a peu de chance d'aboutir à un résultat surtout si le pirate est à l'étranger.
Mais comme je suis tenace, j'espére trouver un moyen d'en savoir plus avant de formater.
Plus de mitraillettes, merci à Tiana, un délire bien réel avec AOL !
tout frais... (je n'avais pas vu les réponses plus haut)
Prenez votre temps, c'est déjà bien sympa de vous en occuper.
Logfile of HijackThis v1.99.1
Scan saved at 07:54:18, on 03/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\sandra\Mes documents\Monitor.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Antipub\antipub.exe
C:\WINDOWS\System32\wwSecure.exe
c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\slrundll.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WebrootDesktopFirewall] C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t
O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37480.cab
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BYBBLC - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\BYBBLC.exe (file missing)
O23 - Service: EX - ewido networks - (no file)
O23 - Service: GXEJAIMMS - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\GXEJAIMMS.exe (file missing)
O23 - Service: NUICP - - (no file)
O23 - Service: OLXERHPG - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\OLXERHPG.exe (file missing)
O23 - Service: QHKHLE - Sonic Solutions - (no file)
O23 - Service: QNLASVFEDGZB - Sonic Solutions - (no file)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TWZCDN - TuneUp Software GmbH - (no file)
O23 - Service: TYNUE - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\TYNUE.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Webroot Desktop Firewall Data Service (WebrootDesktopFirewallDataService) - Webroot Software, Inc. - C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe
O23 - Service: Webroot Desktop Firewall (WebrootFirewall) - Unknown owner - C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe
BYE
-
bonsoir et merci pour vos infos précieuses : effectivement les bruits de mitraillettes ont lieu au moment où s'affiche une page parasite BLANCK, ABOUT BLANCK.... Commnet la virer ?
Alors, antipub réagit en la contrant....en produisant un bruit infernal. Depuis deux ans que je subis, j'en suis devenue sourde !!!
J'ai désactivé , mais quoi mettre de simple et en francais pour le remplacer ?
Charles, un probléme résolu mais loin d'expliquer le reste. VIOLATION D'ADRESSE (photos prises du scan) Et surtout IL NE PARASITE QUE CERTAINS DOSSIERS BIEN CIBLES..., d'où mon souci de retrouver les infos quelque par, suite à fuite.. .
Si je comprends bien, mystére encore pour KEY... sur TREND MICRO : ne le détecte plus pour moi depuis deux jours.
Essayez d'imaginer que chaque jour (en ce moment), j'ai des incidents nouveaux, depuis que je tente de l'éradiquer. J'ai des fichiers déplacés, vides (qu'il infecte), des logiciels qu'il cache et je passe mon temps à chercher et pire à tenter de tout remettre en place !
Ensuite il change la barre d'outils, des tâches, des fenêtres, etc .
Je voudrais savoir si quelqu'un à déjà agi en justice pour piratage et les suites données. Merci pour les infos.
J'ai lu sur PC astuces "les logiciels espions" et ceci explique en partie ce qui m'arrive souvent :
Comportement agressif
Lorsqu'un logiciel espion est installé sur votre ordinateur, il fonctionne même si l'application avec laquelle il était livré n'est pas ou plus utilisée. Ceci consomme des ressources systèmes, mais également de la bande passante et peut causer des ralentissements, voir des plantages.
Afin d'éviter leur suppression, certains spywares n'hésitent pas à masquer leur processus pour ne pas qu'il apparaisse dans le Gestionnaire des tâches de Windows voir même à désactiver votre connexion Internet si vous essayez de les supprimer !
Un logiciel espion a tout simplement les mêmes privilèges que l'utilisateur qui l'a installé (volontairement ou non).
Je veux croire que Charles fait de l'humour en employant le mot "délirant" car c'est plutôt péjoratif quand on espére trouver une solution sur un forum.
Si ce n'était pas le cas, qu'il me donne un moyen de le contacter pour envoi d'un CD, constituant les preuves pour une suite éventuelle, aprés avoir déjà vu la gendarmerie.
Un forum explique que sans préjudice financier, on n'a peu de chance d'aboutir à un résultat surtout si le pirate est à l'étranger.
Mais comme je suis tenace, j'espére trouver un moyen d'en savoir plus avant de formater.
Plus de mitraillettes, merci à Tiana, un délire bien réel avec AOL !
-
salut @ tous
Vraiment délirant!! merci pour ces infos Tiana
j'èspère que ca tranquilisera Sandra!bonsoir et merci pour vos infos précieuses : effectivement les bruits de mitraillettes ont lieu au moment où s'affiche une page parasite BLANCK, ABOUT BLANCK.... Commnet la virer ?
Alors, antipub réagit en la contrant....en produisant un bruit infernal. Depuis deux ans que je subis, j'en suis devenue sourde !!!
J'ai désactivé , mais quoi mettre de simple et en francais pour le remplacer ?
Charles, un probléme résolu mais loin d'expliquer le reste. VIOLATION D'ADRESSE (photos prises du scan) Et surtout IL NE PARASITE QUE CERTAINS DOSSIERS BIEN CIBLES..., d'où mon souci de retrouver les infos quelque par, suite à fuite.. .
Si je comprends bien, mystére encore pour KEY... sur TREND MICRO : ne le détecte plus pour moi depuis deux jours.
Essayez d'imaginer que chaque jour (en ce moment), j'ai des incidents nouveaux, depuis que je tente de l'éradiquer. J'ai des fichiers déplacés, vides (qu'il infecte), des logiciels qu'il cache et je passe mon temps à chercher et pire à tenter de tout remettre en place !
Ensuite il change la barre d'outils, des tâches, des fenêtres, etc .
Je voudrais savoir si quelqu'un à déjà agi en justice pour piratage et les suites données. Merci pour les infos.
-
dormi 4 heures, bonjour
deuxiéme essai pour écrire.
Contaminée de nouveau de tous les COOKIES HTTP + 1 SUR TREND MICRO.
WAOL.EXE qui me demande toujours, durant le scan, d'insérer un disque !
Scan terminé tout de même et nettoyage.
Petit bonhomme icone AOL pour AIM disparu de la barre d'outils depuis deux jours.
Les enregistrements de ce forum sont "contaminés" probablement. Impossible de jeter à la poubelle le dossier en double ou de le renommer : "processus en cours d'utilisation par une autre personne"...
dossier POTENTIALLY... vide ! Effacé, peut être par le scan (prévient que de gros dossiers peuvent disparaitre avec le nettoyage).
CD, dossiers probablement contaminés et réinfestation si utilisation : indétectable au scan.
fenêtre durant un autre scan, autre logiciel, : "reg toolkit.exe : il n'y a pas de disque...." Même processus qu'avec aol.exe.
Cette fenêtre s'ouvre alors que je veux mettre un dossier vide à la poubelle, mais je ne PEUX PAS.
Archivos temporalos : éternellement présents , TUNE UP me signale qu'il ne peut pas le supprimer.
Contient toujours des fichiers 0 byte "fms 6 tmp.............adobe reader", "fms 7 tmp..........' etc.
A mon avis ANORMAL ces fichiers éternels...
De suite, pour accéder au forum, difficile ...
En cliquant sur la ligne correspondant au site, placée dans mes "favoris", j'entends une succession d'une dizaine de gouttes d'eau !!!!!!!!!! (quelqu'un sait et voit, je maintiens ma position) Sinon comment expliquer "ces signes" et ces bruits simultanément ?
Pour avancer, il faudrait savoir par le biais de TREND MICRO à quoi correspondent les cookies numérotés qu'ils me détectent . Je ne peux pas leur envoyer un mail en anglais, je voulais acheter le logiciel ou "prendre des tickets" comme ils disent... Compliqué si pas en francais.
L'accès aux pages est différent : on nous demande d'ouvrir une nouvelle page, la case "répondre" n'est plus en bas de page du dernier message.
Je vois que le travail du scan ne dure que quelques heures et dés une nouvelle connexion, revient la lenteur, les dysfonctionnement et les cookies coriaces et indétectables.
Méditer chers amis, moi je me dis que le combat est sans fin : il faudrait examiner tout mon systéme et surtout qu'AOL soit un partenaire.
Je retourne au lit.
Merci, à plus
-
Bonjour Sandra, et merci pour ces rapports. J'y vois quelques trucs peu courants, qui ont tous été désinstallés. On va faire un peu de ménage, de façon à mieux voir si les symptômes reviennent.
J'aimerais vraiment que tu puisses nous donner les résultats du scan de SpyCop par contre. Voici comment le paramétrer : lorsque tu arrives aux options de scan et que tu as choisi le lecteur C, continue et ne coche pas celles-ci : -Enable Adware scanning, -Enable Fast maintenance scanning, -Password protect program (ces trois-là ne sont pas nécessaires). Clique le bouton "Update Now" afin de faire sa mise à jour. Click "Next" deux fois (saute l'option d'envoyer des rapports par courriel) ; à la prochaine fenêtre, laisse les deux cases cochés, puis click "Finish". Le scan s'amorcera. Ça peut prendre un certain temps (tu verras la loupe qui tourne autour de l'écran - en haut à droite - donc scan en cours). Si des fichiers sont trouvés, note les et poste les résultats s'il te plaît. N'utilise pas la fonction "Rename" tout de suite, si fichiers trouvés.
Pour WAOL.EXE : ce processus peut être associé à un spyware dans certains cas, mais il peut aussi être un processus légitime d'AOL ; étant donné que tu utilises AOL, ça doit être légitime... Si tu peux noter son emplacement, ça nous aiderait.
Je veux te faire passer un autre outil ; le scan devrait être rapide, et cet outil cherche des fichiers de type Rootkits :
Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
~~~~~~~~~~~~~~~~~~~~~~
En résumé, j'aimerais voir les rapports de SpyCop et de BlackLight (et l'emplacement de waol.exe si possible). J'aimerais également savoir comment ton ordi est branché à l'internet; as-tu le téléphone et le modem branchés sur la même prise ? As-tu une connection 56K ? Merci
Bonjour à tous,
Il est temps que je réponde à la personne qui me demande « les clés » : envoi d’un rapport en ce sens et merci à lui :
ROOTKITREVEAL du 4 juin 2004 (clés)
CWShredder 19 avril 2005 : ci joint le rapport
BLACKLIGHT 31 janvier 2006 : ci joint le rapport.
SPYCOP 31 janvier 2006 : merci pour les précisions qui m’ont permises de faire correctement le scan.
Status : « trial mode scan done. Sone files were skipped ». (comment faire un rapport ?)
« active super stealth mode » : « warning ! » Qu’est ce donc ?
Rien de notifié dans les cases.
TROJAN REMOVER de ce jour : 4 clés toujours repérées mais noms différents, liés peut être au fait que j’ai coché la case « renommer » , lors du scan, il y a quelques jours… (83 pages de rapport…)
TREND MICRO du 31 janvier 2006 : coupure AOL. Essai 2 : coupure AOL.
AOL propose mise à jour et redémarrage de suite…(impossible de faire autre chose, j’accepte)…
Essai 3, AOL ne fonctionne pas, propose encore mise à jour et déconnexion, j’accepte.
Essai 4 avec TREND MICRO , le scan démarre. Signale 2 COOKIES HTTP (pas de noms, 5 quelques jours plus tôt) .
Nettoyage effectué. Par contre, la page devant présenter une action manuelle pour les clés ne s’affichera pas…
Au bout de 2 heures, j’abandonne l’attente.
Un document joint, tapé pour le 25 et 26 janvier 06 : avant éradication, permettrait de mieux cerner les problèmes. (VIOLATION ACCES).
WAOL.EXE 3A88A0A8 : cette fonction m’intrigue. Comme je l’ai déjà dit avant, une fenêtre s’ouvre souvent (dans des moments de scan ou de tentative de nettoyage, par exemple) en me demandant d’insérer un CD dans le lecteur ! Que vient faire ce message ? ? ? ? En fait, il est une entrave à l’avancement de certains processus que j’effectue et cela me laisse perplexe… Pour ces raisons, il est toujours un sérieux problème et je me pose des questions…
Je le trouve dans PREFETCH, en fichier à ouvrir avec ADOBE READER, qui ne s’ouvre pas, puisqu’on signale qu’il est endommagé… Souvent aussi, j’ai une réponse me disant que ce fichier est introuvable (aol.exe).
Je viens de le convertir pour le lire en WORD PAD : rien à lire, des caractères incompréhensibles et beaucoup de carrés… (je trouve cela suspect). Lors de cette conversion, tous les autres fichiers de PREFETCH se retrouvent en même temps sur un mode WORD PAD…
Devrais je le laisser en WORD PAD (avec les autres) compte tenu de « l’endommagement » d’adobe reader ?
Il est aussi dans le programme AOL, normal cela je pense.
La prise de l’ordinateur est sur une multiprise téléphone/PC et non pas deux prises séparées. Connection en 56 K. Egalement, beaucoup de problèmes avec le téléphone, laissant perplexe les techniciens qui ne trouvent rien…Pourtant, ils m’ont signifié avoir découverts une anomalie sur ma ligne, il y a deux ans environ. « Perte…, au niveau de leurs tests » : des numéros n’aboutiraient pas chez moi et atterrissent je ne sais où ! !
(vrai, on me dit que je ne suis pas là, alors que le téléphone ne sonnait pas)
Visite à domicile pour contrôle, à leur demande… : démarche suspecte pour un responsable de France Télecom qui affirme qu’on n’appelle pas les abonnés …
Dernièrement, expliquant mes suspicions de piratage au téléphone, le bruit d’une touche sur laquelle on appuierait se fait entendre : ni moi, ni mon interlocuteur n’avons fait une manipulation (de plus, sur un mot en rapport avec mes dossiers « surveillés ».
Parfois, le son diminue, on ne m’entend plus du tout même. Je dois raccrocher et refaire le numéro.
On me fait savoir que les sons du PC viendraient de la ligne, piratée en quelque sorte (info d’un monsieur dont le travail était justement en rapport avec la surveillance).
En table d’écoute, il ne se passerait aucune de ces anomalies, on me dit que c’est ailleurs qu’il faut chercher…
moins de bruit dans l’ordinateur (ventilateur).
Bruit de « mitraillettes » sur certaines pages que je ferme.
Suis toujours infectée par CLARIA/GAIN/GATOR FILE (scan SOFSPY)
Toujours 35 viewpoint relevés dans un autre test.
Disque dur disponibilité de 66 % passée à 27 % en deux mois…
J’ai les rapports des incidents d’AOL, si çà vous intéresse.
AOL : quand les mails ont été effacés sur l’ordinateur, j’ai trouvé dans le rapport des problèmes AOL, une ligne stipulant « violation de partage » : pourriez vous me dire si cela signifie bien l’accès et la violation de mes données (cà s’est passé deux fois, au moment de la connection AOL/WEB (ralentissement important de l’accès et pages qui mettent un temps fou à se placer, pages déformées…)
Tu n’as pas lieu de me remercier, c’est à moi de fournir ce que tu me demandes pour m’aider. Ce qui me lassait , c’est d’envoyer des rapports classiques qui ne sont pas en mesure de détecter mes problèmes et qui ne parlent pas. J’en ai eu la preuve et vous me dites avoir vu « des trucs pas courants », pouvez vous développer ceci SVP ?
Comprenez que je suis comme un malade à qui on ne trouve rien, parce qu’il a une maladie orpheline et çà on ne le sait qu’au moment du diagnostic !
Des mois que j’attends (2ans de dysfonctionnements incessants) pour avoir un nom (fait), des explications (merci à vous de m’éclairer sur ce qui pour vous est banal mais impensable pour des gens à qui j’ai confié mes histoires les larmes aux yeux…) J’avais raison, mais il me faudrait arriver à savoir QUI ET POURQUOI (si possible).
Grâce à plusieurs personnes, on avance beaucoup et j’aurais du intervenir plus tôt.
CETTE CONNECTION EST DE NOUVEAU LENTE ET ANORMALE... pour poster mon message.
02/01/06 13:13:07 [info]: BlackLight Engine 1.0.30 initialized
02/01/06 13:13:07 [info]: OS: 5.1 build 2600 (Service Pack 1)
02/01/06 13:13:08 [Note]: 7019 4
02/01/06 13:13:08 [Note]: 7005 0
02/01/06 13:18:39 [Note]: 7006 0
02/01/06 13:18:39 [Note]: 7011 1140
02/01/06 13:18:40 [Note]: FSRAW library version 1.7.1014
02/01/06 13:22:55 [Note]: 7007 0
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Midi\Ports\Mappeur MIDI Microsoft [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Midi\Ports\SynthÚ. SW table de sons GS Mic [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\Mappeur MIDI Microsoft [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\SynthÚ. SW table de sons GS Mic [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)
C:\Documents and Settings\All Users\Application Data\AOL\UserProfiles\f5ce5e705ad87cac8cd86771ad02a5edbdef2747\metrics\data\5C2A94F1-655-4EC4-99E5-35AF9CC304B.1136412042.tlv 04/01/2006 23:00 1.75 KB Hidden from Windows API.
TEST CWSHREDDER DU 19 AVRIL 2005
**** Run Keys ****
RUN: [siS Tray] C:\WINDOWS\System32\sistray.EXE
RUN: [siS KHooker] C:\WINDOWS\System32\khooker.exe
RUN: [soundMan] SOUNDMAN.EXE
RUN: [CHotkey] mHotkey.exe
RUN: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
RUN: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
RUN: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
RUN: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
RUN: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
RUN: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
RUN: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
RUN: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
RUN: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
RUN: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
RUN: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
RUN: [AOL Spyware Protection] "C:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe"
RUN: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
RUN: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
RUN: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
RUN: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
RUN: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
**** Browser Helper Objects ****
BHO: [AcroIEHlprObj Class] C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
BHO: [] C:\PROGRA~1\SPYBOT~1\SDHelper.dll
**** IE Toolbars ****
TOOLBAR: [AOL Toolbar] C:\Program Files\AOL Toolbar\toolbar.dll
TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx
TOOLBAR: [Copernic Agent] C:\Program Files\Copernic Agent\CopernicAgentExt.dll
**** IE Extensions ****
IEExt: []
IEExt: []
IEExt: [Run WinHTTrack]
IEExt: [AOL Toolbar]
IEExt: [Copernic Agent] C:\PROGRA~1\COPERN~1\COPERN~1.EXE
IEExt: [Real.com] C:\PROGRA~1\COPERN~1\COPERN~1.EXE
IEExt: [Messenger] C:\Program Files\Messenger\MSMSGS.EXE
**** Hosts File Entries ****
HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost
**** IE Settings ****
2
Default Page: http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\System32\blank.htm
Search Bar: res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML
Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
**** IE Context Menu (Right click) ****
IEContext: [&Recherche AOL Toolbar] res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
**** Layered Service Providers ****
LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [uDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] DATAGRAM 4
**** Blocked Control Panel Items ****
BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No
**** Downloaded Program Files ****
DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab]
Interface Chat Wanadoo [http://chat15.x-echo.com/version4/Applet/wchatsign.cab]
Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab]
ppctlcab [http://www.pestscan.com/scanner/ppctlcab.cab] C:\WINDOWS\Downloaded Program Files\ppctl.dll
{2FC9A21E-2069-4E47-8235-36318989DB13} [http://www.pestscan.com/scanner/axscanner.cab] C:\WINDOWS\System32\msvbvm60.dll C:\WINDOWS\Downloaded Program Files\PPSDKActiveXScanner.ocx
{33564D57-0000-0010-8000-00AA00389B71} [http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB]
3
{4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} [http://aolcc.aol.fr/computercheckup/qdiagcc.cab] C:\WINDOWS\System32\DLPT.sys C:\WINDOWS\System32\DDMI.VXD C:\WINDOWS\System32\DLPT.VXD C:\WINDOWS\System32\DDMI2.sys C:\WINDOWS\System32\qdiagcc.ocx C:\WINDOWS\System32\DAntivirus.cfg
{8EC69950-F299-40AC-A004-3BF5176F8F7B} [http://www.checkspy.com/fr/FlowScan.cab]
{981D847D-2C06-4FB7-A09C-4F0A48601B2C} [http://techcity.aol.fr/download/img/DiagSetup.cab]
**** Windows Services ****
[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AntiVirService] C:\Program Files\AVPersonal\AVGUARD.EXE
[AOL ACS] C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
[AOLService] C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVWUpSrv] "C:\Program Files\AVPersonal\AVWUPSRV.EXE"
[bITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[GEARSecurity] C:\WINDOWS\System32\GEARSEC.EXE
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[imapiService] C:\WINDOWS\System32\imapi.exe
[iPodService] C:\Program Files\iPod\bin\iPodService.exe
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
4
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[samSs] %SystemRoot%\system32\lsass.exe
[sCardDrv] %SystemRoot%\System32\SCardSvr.exe
[sCardSvr] %SystemRoot%\System32\SCardSvr.exe
[schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[sENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[sharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[shellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[sLService] slserv.exe
[spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[sSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[swPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{19BC5DA9-6015-474F-886C-A1E69ABBA835}
[sysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[uMWdf] C:\WINDOWS\System32\wdfmgr.exe
[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[uPS] %SystemRoot%\System32\ups.exe
[vsmon] C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WANMiniportService] "C:\WINDOWS\wanmpsvc.exe"
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs
**** Custom IE Search Items ****
SEARCH: [searchAssistant]
SEARCH: [CustomizeSearch]
SEARCH: [searchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
**** Complete IE Options ****
IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm
IEOPT: [save_Session_History_On_Exit] no
IEOPT: [show_FullURL] no
5
IEOPT: [show_StatusBar] yes
IEOPT: [show_ToolBar] yes
IEOPT: [show_URLinStatusBar] yes
IEOPT: [show_URLToolBar] yes
IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home
IEOPT: [use_DlgBox_Colors] yes
IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] yes
IEOPT: [use FormSuggest] yes
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [save Directory] C:\Documents and Settings\sandra\Mes documents\
IEOPT: [AddToFavoritesExpanded]
IEOPT: [AutoSearch]
IEOPT: [Move System Caret] no
IEOPT: [Expand Alt Text] no
IEOPT: [Print_Background] no
IEOPT: [Enable_MyPics_Hoverbar] yes
IEOPT: [show image placeholders]
IEOPT: [Enable AutoImageResize] yes
IEOPT: [Play_Animations] yes
IEOPT: [Play_Background_Sounds] yes
IEOPT: [Display Inline Videos] yes
IEOPT: [FavIntelliMenus] no
IEOPT: [Enable Browser Extensions] yes
IEOPT: [useThemes]
IEOPT: [NoWebJITSetup]
IEOPT: [Friendly http errors] yes
IEOPT: [showGoButton] yes
IEOPT: [Page_Transitions]
IEOPT: [NscSingleExpand]
IEOPT: [Force Offscreen Composition]
IEOPT: [AllowWindowReuse]
IEOPT: [smoothScroll]
IEOPT: [LastCheckedHi] aìÄ s
IEOPT: [First Home Page] http://www.microsoft.com/isapi/redir.dll?P...ie5update&O1=b1
IEOPT: [use Custom Search URL]
IEOPT: [search Bar] res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
6
IEOPT: [FullScreen] no
IEOPT: [search Bar]
IEOPT: []
4 DECEMBRE 2005
Logfile of HijackThis v1.98.2
Scan saved at 01:46:50, on 05/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
C:\Program Files\AOL Compagnon\companion.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Antipub\antipub.exe
C:\WINDOWS\wanmpsvc.exe
c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Documents and Settings\sandra\Mes documents\HIJACK THIS\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: AOL Companion.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
TESTS DU 25 ET 26 JANVIER 2006 (dans la nuit)
Rootkit Revealer test 1
4 discrepancies found (clés)
data misnasch between windows and raw hive data 80 bytes
En allant lire le rapport dans le disque dur, fenêtre : « rootkit detection utility ».
Un rapport d’ erreurs s’affiche.
Quand au rapport du scan, la page est vide !
Je refais le test, je veux mettre le rapport du scan dans « mes documents » : introuvable !
En mode sans échec : Fenêtre s’ouvre :
« unable to install rootkit revealer service : une opération d’entrée/sortie avec chevauchement est en cours d’exécution »
En mode normal, je refais un test : le fichier « data misnasch… » ne figure plus sur la liste !
Seulement les 4 clés ressortent du test, comme ci dessus.
Nouveau test : 953 discrepancies found !
J’imprime les 43 pages.
Nouveau test : fenêtre comme ci dessus… : « rootkit detection utility »
« rootkit detection a rencontré un probléme et doit fermer. Nous vous prions de….
Rapport d’erreurs : C : /DOCUME 1/ sandra LOCALS 1 /temps/wer24. Tnp 00/pp….
Nouveau test : « rootkit….. » rapport d’erreurs : …. ……... wer25….
Nouveau test : deux nouveaux fichiers apparaissent :
Hklm software 80 bytes data mismasch between… du 26 janv 06
Idem 84 bytes data……. du 26 janv 06
Plus les 4 clés du départ.
Rien du tout sur les rapports dans systéme 32 : pages blanches ! ! !
Trojan remover
En mode sans échec :
Fenêtre s’ouvre : « access violation at address (un numéro suit) in module « uhn 12.exe » . Write of address (un n°suit) ».
Détails : « access violation at address (un autre numéro suit, différent de la ligne dessus) in module « UHN 12.exe ». Read of adress ( autre n° suit) »
HKEY LOCAL MACHINE/ System/current controlSet/Service/appmgmt/service DII
The files is called an NT/XP service DII registrey key
C : / windows/systeme 32/appmgmps.dll
The program is loader by the following registrey key
This program is not a « known » trojant horse.
Fenêtre s’ouvre : « access violation at address (un même numéro)….etc
Détail : « access violation at address…. (un autre numéro suit différent de la ligne dessus) »
HKEY LOCAL MACHINE /System/currentControlSet/Services/ Hidserv/ Service DII
The files is……(idem)
C/windows/System32/Hidserv.dII
An executable file with name « has not » been located in the path.
The program is loader by the following registrey key.
This program is not a…..
2
Fenêtre s’ouvre : « access violation…. (même numéro)….Write of…. (même numéro) »
Détails : « access violation at….. idem….. »
HKEY LOCAL MACHINE/System/currentControlSet/Service/AOL Service/Image Path
C : Program files/ fichiers commun/AOL/AOL spyware protection/AOLser. Exe
Fenêtre s’ouvre ….
Détails : idem…
HKEY LOCAL MACHINE/System/current controlSet/services/ UWAWCA/image Path
C : Docume 1/sandra/local 1/temp/ UWAWCA /Image path
Trojan remover : error SF 0111 in procédure process start entry :
Access violation error resolving the shortcut reference AOL 9 icône AOL.INK located in the startup group
Trojan remover is unable to determine the name of locate or scan the file referenced by this shortcut
OK
(je n’ai rien su faire…)
access violation error resolving the shortcut reference intervideo wincinéma manager. INK located in the startup group.
Troyan remover is unable to determine the name of, locate or scan the file referenced by this shortcut
Ok
(je n’ai rien su faire…)
access violation error resolving the shortcut reference lancement rapide d’adobe reader. INK located in the….
(je n’ai rien su faire…)
access violation error resolving the shortcut reference Microsoft recherche accélérée. Idem….
(je n’ai rien su faire…)
En mode normal, le scan bloque l’ordinateur….
Information : « cannot access poste de travail if this is a driver, it is either empty or not ready. Otherwise, it docs not appear to be a valid directory path »
Autre essai : « no active malicious files were found and no changes were made »
Puis autre essai : rapport de 48 pages fait.
Antivirus AVAST est figé….
Pour obtenir des infos sur Google, une page en espagnol s’ouvre pour une pub d’antivirus ! ! ! !
Nouvel essai en mode sans échec : PLUS RIEN NE RESSORTIRA DES TESTS COMME ANOMALIES ! ! !
Puis, s’ouvre des fenêtres qui me font peur :
Warning ! chosing this option will ….
(je ne comprends pas, je ne réponds pas)
warning ! turning off randow filmane generation proctection will mean that trojan remover is…
l’inspiration et le « hum », reprend comme bruit bizarre…., à deux reprises….
Sur un forum, j’apprends à accéder aux clés en tapant REGEDIT.
J’imprime les clés concernées par le signalement du logiciel de test.
3
Je recharge AVAST ; Je scanne.
Pourquoi la deuxiéme fois n’ais je pas obtenu les mêmes anomalies ?
En ne répondant pas pour les choix, j’ai du empêcher le renouvellement de l’affichage des problémes ou alors en répondant….(J’ai fait tellement d’essais !)
J’ai photographié l’écran à chaque fenêtre.
AOL, comme je le pressens est t’il impliqué dans le processus de piratage ? (trois ans de mails disparus)
Que déduire de ces tests ?
DRIVE/DIRECTORY SCAN *****
Trojan Remover Ver 6.4.6. For information, email simplysupsupport@aol.com
[unregistered version]
[Global edition ]
Scan started at: 26/01/2006 04:41:39
Using Database v6460
Operating System: Microsoft Windows XP Version: 5.1 (Build: 2600 Service Pack 1)
--------------------------------------------------
Carrying out scan on C:\
(including subdirectories)
Archive files will be INCLUDED.
The scan will also include files aready renamed by Trojan Remover
------------------------------
------------------------------
Scan stopped by user after 63 files were checked
No Malware files detected
************************************************************
***** NORMAL SCAN FOR ACTIVE MALWARE *****
Trojan Remover Ver 6.4.6. For information, email simplysupsupport@aol.com
[unregistered version]
[Global edition ]
Scan started at: 26/01/2006 04:29:04
Using Database v6460
Operating System: Microsoft Windows XP Version: 5.1 (Build: 2600 Service Pack 1)
--------------------------------------------------
04:29:05: ----------RUNNING PROCESSES-----------
C:\WINDOWS\System32\smss.exe
FileSize: 45568 bytes
Company Name: Microsoft Corporation
File Description: Windows NT Session Manager
File Version: 5.1.2600.1106 (xpsp1.020828-1920)
Internal Name: smss.exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: smss.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.1106
--------------------
C:\WINDOWS\system32\csrss.exe
FileSize: 4096 bytes
Company Name: Microsoft Corporation
File Description: Client Server Runtime Process
File Version: 5.1.2600.0 (xpclient.010817-1148)
Internal Name: CSRSS.Exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: CSRSS.Exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.0
--------------------
C:\WINDOWS\system32\winlogon.exe
FileSize: 520704 bytes
Company Name: Microsoft Corporation
File Description: Application d'ouverture de session Windows NT
File Version: 5.1.2600.1106 (xpsp1.020828-1920)
Internal Name: winlogon
Copyright: © Microsoft Corporation. Tous droits réservés.
Original Filename: WINLOGON.EXE
Product Name: Système d'exploitation Microsoft® Windows®
Product Version: 5.1.2600.1106
--------------------
C:\WINDOWS\system32\services.exe
FileSize: 101888 bytes
Company Name: Microsoft Corporation
File Description: Applications Services et Contrôleur
File Version: 5.1.2600.0 (xpclient.010817-1148)
Internal Name: services.exe
Copyright: © Microsoft Corporation. Tous droits réservés.
Original Filename: services.exe
Product Name: Système d'exploitation Microsoft® Windows®
Product Version: 5.1.2600.0
--------------------
C:\WINDOWS\system32\lsass.exe
FileSize: 11776 bytes
Company Name: Microsoft Corporation
File Description: LSA Shell (Export Version)
File Version: 5.1.2600.1106 (xpsp1.020828-1920)
Internal Name: lsass.exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: lsass.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.1106
--------------------
C:\WINDOWS\system32\svchost.exe
FileSize: 12800 bytes
Company Name: Microsoft Corporation
File Description: Generic Host Process for Win32 Services
File Version: 5.1.2600.0 (xpclient.010817-1148)
Internal Name: svchost.exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: svchost.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.0
--------------------
C:\WINDOWS\System32\svchost.exe
FileSize: 12800 bytes
Company Name: Microsoft Corporation
File Description: Generic Host Process for Win32 Services
File Version: 5.1.2600.0 (xpclient.010817-1148)
Internal Name: svchost.exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: svchost.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.0
--------------------
C:\WINDOWS\System32\svchost.exe
FileSize: 12800 bytes
Company Name: Microsoft Corporation
File Description: Generic Host Process for Win32 Services
File Version: 5.1.2600.0 (xpclient.010817-1148)
Internal Name: svchost.exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: svchost.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.0
--------------------
C:\WINDOWS\System32\svchost.exe
FileSize: 12800 bytes
Company Name: Microsoft Corporation
File Description: Generic Host Process for Win32 Services
File Version: 5.1.2600.0 (xpclient.010817-1148)
Internal Name: svchost.exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: svchost.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.0
--------------------
C:\WINDOWS\Explorer.EXE
FileSize: 1000448 bytes
Company Name: Microsoft Corporation
File Description: Explorateur Windows
File Version: 6.00.2800.1221 (xpsp2.030511-1403)
Internal Name: explorer
Copyright: © Microsoft Corporation. Tous droits réservés.
Original Filename: EXPLORER.EXE
Product Name: Système d'exploitation Microsoft® Windows®
Product Version: 6.00.2800.1221
--------------------
C:\WINDOWS\system32\spoolsv.exe
FileSize: 53248 bytes
Company Name: Microsoft Corporation
File Description: Spooler SubSystem App
File Version: 5.1.2600.1699 (xpsp2.050610-1533)
Internal Name: spoolsv.exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: spoolsv.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.1699
--------------------
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
FileSize: 1135728 bytes
Company Name: America Online, Inc.
File Description: AOL Connectivity Service
File Version: 2.0.20.1.FR.213
Internal Name: AOLacsd
Copyright: Copyright © 2003 America Online, Inc.
Original Filename: AOLacsd.exe
Product Name: AOL Connectivity Service
Product Version: 2.0.20.1.FR.213
--------------------
C:\WINDOWS\System32\sistray.EXE
FileSize: 303104 bytes
Company Name: Silicon Integrated Systems Corporation
File Description: SiS Compatible Super VGA Tray Application
File Version: 0.0.0.2081
Internal Name: SISTRAY 2.07k.00
Copyright: Copyright © Silicon Integrated Systems Corp. 1998-2002
Original Filename: SISTRAY.EXE
Product Name: SiS ® Compatible Super VGA SiSTray application for Windows NT4.0/2000/XP
Product Version: 0.0.0.2081
Comments: SiS Compatible Super VGA Tray Application
--------------------
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
FileSize: 53248 bytes
--------------------
C:\Program Files\Alwil Software\Avast4\ashServ.exe
FileSize: 98352 bytes
File Description: avast! antivirus service
File Version: 4, 6, 739, 0
Internal Name: aswServ
Copyright: Copyright © 2005 ALWIL Software
Original Filename: aswServ.exe
Product Name: avast! Antivirus
Product Version: 4, 6, 0, 0
--------------------
C:\WINDOWS\SOUNDMAN.EXE
FileSize: 46592 bytes
Company Name: Realtek Semiconductor Corp.
File Description: Realtek Sound Manager
File Version: 5.0.14
Internal Name: ALSMTray
Copyright: Copyright © 2001-2002 Realtek Semiconductor Corp.
Original Filename: ALSMTray.exe
Product Name: Realtek Sound Manager
Product Version: 5.0.14
Comments: Realtek AC97 Audio Sound Manager
--------------------
C:\WINDOWS\mHotkey.exe
FileSize: 472576 bytes
Company Name: Chicony
File Description: Chicony Multimedia Driver
File Version: 2, 2, 1, 0
Internal Name: Multimedia Hotkey Driver
Copyright: Copyright © 2001 Chicony
Original Filename: mHotkey.res
Product Name: Chicony Multimedia Driver
Product Version: 2, 2, 1, 0
--------------------
C:\Program Files\Real\RealPlayer\RealPlay.exe
FileSize: 26112 bytes
Company Name: RealNetworks, Inc.
File Description: RealPlayer
File Version: 6.0.9.584
Internal Name: REALPLAY
Copyright: Copyright © RealNetworks, Inc. 1995-2000
Trademark: RealAudio is a trademark of RealNetworks, Inc.
Original Filename: REALPLAY.EXE
Product Name: RealPlayer (32-bit)
Product Version: 6.0.9.584
--------------------
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
FileSize: 684032 bytes
Company Name: Roxio
File Description: DirectCD Application
File Version: 5.3.3.6
Internal Name: DirectCD
Copyright: Copyright © 2001,2002, Roxio, Inc.
Original Filename: Directcd.exe
Product Name: DirectCD
Product Version: 5.3.3.6
--------------------
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
FileSize: 80384 bytes
Company Name: TechCity Solutions France
File Description: Agent
File Version: 1.0.1.93
Internal Name: Agent
Copyright: Copyright © 2004 TechCity Solutions France
Trademark:
Original Filename: AOLAgent.exe
Product Name: TechCity Solutions France Agent
Product Version: 1.0.1.93
Comments:
--------------------
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
FileSize: 496752 bytes
Company Name: America Online, Inc
File Description: AOL Connectivity Service Dialer
File Version: 2.0.20.1.FR.213
Copyright: Copyright © 2003 America Online, Inc.
Original Filename: AOLDial.exe
Product Name: AOL Connectivity Service
Product Version: 2.0.20.1.FR.213
--------------------
C:\Program Files\QuickTime\qttask.exe
FileSize: 98304 bytes
Company Name: Apple Computer, Inc.
File Version: 6.5.1
Internal Name: QuickTime Task
Copyright: © Apple Computer, Inc. 2001-2004
Original Filename: QTTask.exe
Product Name: QuickTime
Product Version: QuickTime 6.5.1
--------------------
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
FileSize: 98352 bytes
File Description: avast! service GUI component
File Version: 4, 6, 739, 0
Internal Name: aswDisp
Copyright: Copyright © 2005 ALWIL Software
Original Filename: aswDisp.exe
Product Name: avast! Antivirus
Product Version: 4, 6, 0, 0
--------------------
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
FileSize: 3404800 bytes
Company Name: Webroot Software, Inc.
File Description: Spy Sweeper Client Executable
File Version: 4,5,8,683
Copyright: Copyright © 2002 - 2005, All Rights Reserved.
Original Filename: SpySweeper.exe
Product Name: Spy Sweeper
Product Version: 4, 5
--------------------
C:\WINDOWS\system32\slserv.exe
FileSize: 45056 bytes
Company Name:
File Description: User-Level Modem Service
File Version: 2.80.00(24Apr2000)
Internal Name: slserv
Copyright: Copyright © 1999-2000
Trademark:
Original Filename: slserv.exe
Product Name: Modem
Product Version: 2.80.00
Comments:
--------------------
C:\WINDOWS\System32\svchost.exe
FileSize: 12800 bytes
Company Name: Microsoft Corporation
File Description: Generic Host Process for Win32 Services
File Version: 5.1.2600.0 (xpclient.010817-1148)
Internal Name: svchost.exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: svchost.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.0
--------------------
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
FileSize: 2159104 bytes
Company Name: Webroot Software, Inc.
File Description: Spy Sweeper SDK
File Version: 2,0,8,483
Copyright: Copyright © 2002 - 2005, All Rights Reserved.
Trademark: Spy Sweeper is a trademark of Webroot Software, Inc.
Original Filename: SpySweeper.exe
Product Name: Spy Sweeper SDK
Product Version: 2, 0
--------------------
C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe
FileSize: 1907712 bytes
Company Name: Webroot Software, Inc.
File Description: Webroot Desktop Firewall Executable
File Version: 1.3.0.52
Copyright: Copyright © 2001-2005 Webroot Software, Inc.
Trademark: Webroot Desktop Firewall is a trademark of Webroot Software, Inc.
Product Name: Webroot Desktop Firewall
Product Version: 1.3
--------------------
C:\WINDOWS\System32\ctfmon.exe
FileSize: 13312 bytes
Company Name: Microsoft Corporation
File Description: CTF Loader
File Version: 5.1.2600.1106 (xpsp1.020828-1920)
Internal Name: CTFMON
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: CTFMON.EXE
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.1106
--------------------
C:\Documents and Settings\sandra\Mes documents\Monitor.exe
FileSize: 57344 bytes
Company Name: OLYMPUS IMAGING CORP.
File Description: resident module
File Version: 1, 3, 0, 8
Internal Name: Monitor
Copyright: Copyright © 2004-2005 OLYMPUS IMAGING CORP.
Original Filename: Monitor.EXE
Product Name: OLYMPUS Master
Product Version: 1, 3, 0, 8
--------------------
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
FileSize: 159832 bytes
Company Name: America Online, Inc.
File Description: AOLHostManager
File Version: 1.3.6.0
Internal Name: AOLHostManager
Copyright: © 2005 America Online, Inc.
Original Filename: AOLHostManager.exe
Product Name: AOL Service Libraries
Product Version: 1.3.6.0
--------------------
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
FileSize: 102400 bytes
File Description: WinCinema Manager
File Version: 1.0
Internal Name: WinCinema Manager
Copyright: Copyright © 2000 InterVideo Inc.
Original Filename: WinCinemaMgr.EXE
Product Name: WinCinema Manager for InterVideo WinCinema products
Product Version: 1, 0, 0, 1
--------------------
C:\Program Files\Antipub\antipub.exe
FileSize: 674304 bytes
--------------------
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
FileSize: 151128 bytes
Company Name: America Online, Inc.
File Description: AOL
File Version: 1.3.6.0
Internal Name: AOLServiceHost
Copyright: © 2005 America Online, Inc.
Original Filename: AOLServiceHost.exe
Product Name: AOL Service Libraries
Product Version: 1.3.6.0
--------------------
C:\WINDOWS\System32\wdfmgr.exe
FileSize: 38912 bytes
Company Name: Microsoft Corporation
File Description: Windows User Mode Driver Manager
File Version: 5.2.3790.1230 built by: DNSRV(bld4act)
Internal Name: WdfMgr
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: WdfMgr.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.2.3790.1230
--------------------
C:\WINDOWS\wanmpsvc.exe
FileSize: 65536 bytes
Company Name: America Online, Inc.
File Description: Wan Miniport (ATW) Service
File Version: 7, 0, 0, 2
Internal Name: WanMPSvc
Copyright: Copyright © 2001 America Online, Inc.
Original Filename: WanMPSvc.exe
Product Name: America Online
Product Version: 7, 0, 0, 2
--------------------
C:\WINDOWS\System32\wwSecure.exe
FileSize: 486400 bytes
Company Name: Webroot Software, Inc.
File Description: Washer Security Service
File Version: 6.0.1.10
Internal Name: wwSecure.exe
Copyright: © 1997, 2005 All Rights Reserved
Product Version: 6.0
--------------------
c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe
FileSize: 1536 bytes
--------------------
C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe
FileSize: 151128 bytes
Company Name: America Online, Inc.
File Description: AOL
File Version: 1.3.6.0
Internal Name: AOLServiceHost
Copyright: © 2005 America Online, Inc.
Original Filename: AOLServiceHost.exe
Product Name: AOL Service Libraries
Product Version: 1.3.6.0
--------------------
C:\WINDOWS\System32\wbem\wmiprvse.exe
FileSize: 203776 bytes
Company Name: Microsoft Corporation
File Description: WMI
File Version: 5.1.2600.1106 (xpsp1.020828-1920)
Internal Name: Wmiprvse.exe
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: Wmiprvse.exe
Product Name: Microsoft® Windows® Operating System
Product Version: 5.1.2600.1106
--------------------
C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe
FileSize: 665600 bytes
Company Name: Webroot Software, Inc.
File Description: Webroot Desktop Firewall Event Logging Service
File Version: 2.0.0.419
Copyright: Copyright © 2001-2005 Webroot Software, Inc.
Trademark: Webroot Desktop Firewall is a trademark of Webroot Software, Inc.
Product Name: Webroot Desktop Firewall
Product Version: 1.3
--------------------
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
FileSize: 360496 bytes
Company Name: ALWIL Software
File Description: avast! Web Scanner
File Version: 4, 6, 739, 0
Internal Name: aswProxy
Copyright: Copyright © 2005 ALWIL Software
Original Filename: ashWebSv.exe
Product Name: avast! Antivirus
Product Version: 4, 6, 0, 0
--------------------
C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe
FileSize: 192512 bytes
--------------------
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
FileSize: 241712 bytes
Company Name: ALWIL Software
File Description: avast! e-Mail Scanner Service
File Version: 4, 6, 739, 0
Internal Name: AvMaiSrv
Copyright: Copyright © 2005 ALWIL Software
Original Filename: AvMaiSrv.exe
Product Name: avast! Antivirus
Product Version: 4, 6, 0, 0
--------------------
C:\Program Files\AOL 9.0\waol.exe
FileSize: 259672 bytes
Company Name: America Online, Inc.
File Description: AOL
File Version: 9.00.002
Internal Name: WAOL
Copyright: Copyright © America Online, Inc. 1999 - 2004
Product Name: America Online
Product Version: 9.00.002
--------------------
C:\Program Files\AOL 9.0\shellmon.exe
FileSize: 38512 bytes
Company Name: America Online, Inc.
File Description: setupdb
File Version: 9.00.001
Internal Name: setupdb
Copyright: Copyright © America Online, Inc. 1999 - 2004
Product Name: AOL
Product Version: 9.00.001
--------------------
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
FileSize: 487518 bytes
Company Name: America Online Inc
File Description: AOL TopSpeed
File Version: 1, 1, 1, 0
Internal Name: AOL TopSpeed
Copyright: Copyright © America Online 2003
Trademark: AOL TopSpeed
Original Filename: aoltpspd.exe
Product Name: AOL TopSpeed
Product Version: [v1_r1.1-2] On Mon 11/29/2004 19:54:26.07
--------------------
C:\Documents and Settings\sandra\Bureau\RootkitRevealer.exe
FileSize: 97280 bytes
Company Name: Sysinternals - www.sysinternals.com
File Description: Rootkit detection utility
File Version: 1.60
Copyright: Copyright © 2005 Bryce Cogswell and Mark Russinovich
Product Name: Sysinternals Rootkitrevealer
Product Version: 1.60
--------------------
C:\Documents and Settings\sandra\Bureau\RootkitRevealer.exe
FileSize: 97280 bytes
Company Name: Sysinternals - www.sysinternals.com
File Description: Rootkit detection utility
File Version: 1.60
Copyright: Copyright © 2005 Bryce Cogswell and Mark Russinov
-
Bonjour SANDRA88, Qc001, tesgaz, bonjour à tous,
Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !
Je suis très intéressé par ton problème et je vais essayer de suivre ce qui est demandé par Qc001 et tesgaz... et j'espère participer autant que je le peux !
Bonjour à tous, et merci pour votre mobilisation.
Beaucoup à dire…
1 mode sans échec de spywar, evido rien
Hitjacthis, voir rapport joint
Rootkit revealer me dit : « unable to install rootkit service : une opération d’entrée/sortie avec chevauchement est en cours d’utilisation ».
Nettoyé avec Cleaner. Je n’ose pas virer ce qu’il met dans « les erreurs », il y des clés renommées en mode sans échec (j’ai cliqué pour ce choix) , lors d’un scan de trojan remover (à tort ou à raison…). Viré (en stressant) le programme VIEWPOINT EXPERIENCE TECHNOLOGY , un scan me signalait 44 lignes sur ce programme en parlant de toolbar…. Alors, tant pis, j’ai viré …
2 mode normal, hors connexion web, scan de registrit toolkit : 173 points relevés (en anglais, pas facile de piger tout) Pour nettoyer…, il faut l’acheter.
Trend micro CWShredder : pas de COOLWEBSEARCH détecté…. Mais il est signalé sur le web que AOL.EXE est sa variante…..
Rapport scan joint
Je précise qu’hier le deuxiéme test avec TEND MICRO en ligne , ne mentionne plus KEYL SE 71724….(lire avant). Il en serait venu à bout ? ? ? Une fenêtre s’ouvre : « WAOL. EXE PAS DE DISQUE : il n’y a pas de disque dans le lecteur. Insérez un disque dans le lecteur » ( ? ? ? ? ? ? ? ? ? ? ? ?). Le scan de Tend bloque à cause de la fenêtre que je n’arrive pas à fermer et mes réponses aux trois possibles (annuler, recommencer…) bloque aussi. A force d’insister, je réussis progressivement à faire avancer le scan en cours.
Ouf ! Ca vaut le coup : KEYL disparu…. Et 5 COOKIES HTTP SIGNALES :
Cookie_SE. 54805 IDEM 52797 IDEM 61 IDEM 77206 IDEM 50506.
Je tente le nettoyage. De nouveau, même fenêtre « WAOL. EXE » et même texte…
Je ne viendrai pas à bout de la fenêtre et le nettoyage ne se fera pas.
3 Durant « l’expérience », à deux reprises, deux inspirations fortes suivies de « hum » « hum » (phénomène récurrent comme quelqu’un qui respire le parfum d’une fleur ). Je constate que le scan s’interrompt au moment de ces bruits….Chaque fois, que je fais une opération de recherches sur le rootkit, j'ai droit à cela, comme une façon de prouver « qu’il est là, qu’il voit… » Cela use mes nerfs.
4 Je cherche dans le disque les WAOL. EXE : des lignes suspectes à mon sens, dont un renvoi dans windows, dossier « perfect », 160 lignes constituant les noms de tous mes logiciels utilisés nuit et jour !
Curieusement, une fois de plus, en visualisant ces Waol, COUPURE AOL et comme chaque fois en silence… (normalement, j’entends le bruit de la ligne téléphonique).
La veille, tentative de connection sur votre forum, inscription et COUPURE au moment où je clique pour terminer ma fiche et arriver au forum. De nouveau, pas de bruit habituel de ligne téléphonique au moment de cette coupure. J’aimerais comprendre pourquoi .
Dans la journée, dans un dossier photos, je vois un ficher genre bloc note qui figure à côté des icônes de photos…Ce n’est pas moi qui l’ai placé là. Quelque minutes plus tard, plus rien, je pense qu’en l’ouvrant il aurait été vide (comme souvent).
Auparavant, un scan PANDA n’a pas pu aboutir, à cause de la même fenêtre…..
Durant le temps où cette fenêtre est là, je vois dans la barre bleue en bas de l’écran « téléchargement »…
Je me demande si cela vient de tend micro (il scanne pour nettoyage) ou si c’est mon espion qui s’expédie son stock de détournements d’infos ! ! ! ! !
Puis, je vois « téléchargement de l’image », alors là, qu’en pensez vous ? ? ? ? Il s’approprie les photos d’écran des anomalies et de tous les scans ? ? ? ?
5 La veille, un dossier vide normalement, laisse apparaître un dossier avec tout une suite de chiffres, en guise de nom. J’ouvre, je trouve des photos de l’écran de l’ordinateur, servant à constituer mon dossier, si je porte plainte.
Qui peut me dire pourquoi ce « détournement », si ce n’est que quelqu’un compte « se l’expédier » en suite ?
6 AOL signale « une erreur est survenue et aol doit être fermé », ensuite me propose une « mise à jour », ou similaire et me dit qu’il doit redémarrer maintenant…
Est ce vraiment aol, et je trouve des similitudes avec des incidents et mes effacements de mails archivés et derniérement les favoris…
7 une autre tentative sur TEND MICRO pour nettoyer les anomalies trouvées échoue, avec une coupure d’aol.
8 SPYCOP chargé mais en anglais. Il faudrait d’abord quelle case cocher dans les pages défilantes ?
Ensuite, comment paramétrer les options du scan
Il stipule : « trial mode scan done. Somes files were skipped »
Au milieu des deux cadres jaunes, stipulé « suspicious files double click for more information or to renave »
Inspiration, respiration encore en direct…
J’ai peur d’une coupure, j’envoie mon message
Bonjour à tous, et merci pour votre mobilisation.
Beaucoup à dire…
1 mode sans échec de spywar, evido rien
Hitjacthis, voir rapport joint
Rootkit revealer me dit : « unable to install rootkit service : une opération d’entrée/sortie avec chevauchement est en cours d’utilisation ».
Nettoyé avec Cleaner. Je n’ose pas virer ce qu’il met dans « les erreurs », il y des clés renommées en mode sans échec (j’ai cliqué pour ce choix) , lors d’un scan de trojan remover (à tort ou à raison…). Viré (en stressant) le programme VIEWPOINT EXPERIENCE TECHNOLOGY , un scan me signalait 44 lignes sur ce programme en parlant de toolbar…. Alors, tant pis, j’ai viré …
2 mode normal, hors connexion web, scan de registrit toolkit : 173 points relevés (en anglais, pas facile de piger tout) Pour nettoyer…, il faut l’acheter.
Trend micro CWShredder : pas de COOLWEBSEARCH détecté…. Mais il est signalé sur le web que AOL.EXE est sa variante…..
Rapport scan joint
Je précise qu’hier le deuxiéme test avec TEND MICRO en ligne , ne mentionne plus KEYL SE 71724….(lire avant). Il en serait venu à bout ? ? ? Une fenêtre s’ouvre : « WAOL. EXE PAS DE DISQUE : il n’y a pas de disque dans le lecteur. Insérez un disque dans le lecteur » ( ? ? ? ? ? ? ? ? ? ? ? ?). Le scan de Tend bloque à cause de la fenêtre que je n’arrive pas à fermer et mes réponses aux trois possibles (annuler, recommencer…) bloque aussi. A force d’insister, je réussis progressivement à faire avancer le scan en cours.
Ouf ! Ca vaut le coup : KEYL disparu…. Et 5 COOKIES HTTP SIGNALES :
Cookie_SE. 54805 IDEM 52797 IDEM 61 IDEM 77206 IDEM 50506.
Je tente le nettoyage. De nouveau, même fenêtre « WAOL. EXE » et même texte…
Je ne viendrai pas à bout de la fenêtre et le nettoyage ne se fera pas.
3 Durant « l’expérience », à deux reprises, deux inspirations fortes suivies de « hum » « hum » (phénomène récurrent comme quelqu’un qui respire le parfum d’une fleur ). Je constate que le scan s’interrompt au moment de ces bruits….Chaque fois, que je fais une opération de recherches sur le rootkit, j'ai droit à cela, comme une façon de prouver « qu’il est là, qu’il voit… » Cela use mes nerfs.
4 Je cherche dans le disque les WAOL. EXE : des lignes suspectes à mon sens, dont un renvoi dans windows, dossier « perfect », 160 lignes constituant les noms de tous mes logiciels utilisés nuit et jour !
Curieusement, une fois de plus, en visualisant ces Waol, COUPURE AOL et comme chaque fois en silence… (normalement, j’entends le bruit de la ligne téléphonique).
La veille, tentative de connection sur votre forum, inscription et COUPURE au moment où je clique pour terminer ma fiche et arriver au forum. De nouveau, pas de bruit habituel de ligne téléphonique au moment de cette coupure. J’aimerais comprendre pourquoi .
Dans la journée, dans un dossier photos, je vois un ficher genre bloc note qui figure à côté des icônes de photos…Ce n’est pas moi qui l’ai placé là. Quelque minutes plus tard, plus rien, je pense qu’en l’ouvrant il aurait été vide (comme souvent).
Auparavant, un scan PANDA n’a pas pu aboutir, à cause de la même fenêtre…..
Durant le temps où cette fenêtre est là, je vois dans la barre bleue en bas de l’écran « téléchargement »…
Je me demande si cela vient de tend micro (il scanne pour nettoyage) ou si c’est mon espion qui s’expédie son stock de détournements d’infos ! ! ! ! !
Puis, je vois « téléchargement de l’image », alors là, qu’en pensez vous ? ? ? ? Il s’approprie les photos d’écran des anomalies et de tous les scans ? ? ? ?
5 La veille, un dossier vide normalement, laisse apparaître un dossier avec tout une suite de chiffres, en guise de nom. J’ouvre, je trouve des photos de l’écran de l’ordinateur, servant à constituer mon dossier, si je porte plainte.
Qui peut me dire pourquoi ce « détournement », si ce n’est que quelqu’un compte « se l’expédier » en suite ?
6 AOL signale « une erreur est survenue et aol doit être fermé », ensuite me propose une « mise à jour », ou similaire et me dit qu’il doit redémarrer maintenant…
Est ce vraiment aol, et je trouve des similitudes avec des incidents et mes effacements de mails archivés et derniérement les favoris…
7 une autre tentative sur TEND MICRO pour nettoyer les anomalies trouvées échoue, avec une coupure d’aol.
8 SPYCOP chargé mais en anglais. Il faudrait d’abord quelle case cocher dans les pages défilantes ?
Ensuite, comment paramétrer les options du scan
Il stipule : « trial mode scan done. Somes files were skipped »
Au milieu des deux cadres jaunes, stipulé « suspicious files double click for more information or to renave »
Inspiration, respiration encore en direct…
J’ai peur d’une coupure, j’envoie mon message
Scan CWSHREDDER «31 janv 06
**** Run Keys ****
RUN: [siS Tray] C:\WINDOWS\System32\sistray.EXE
RUN: [siS KHooker] C:\WINDOWS\System32\khooker.exe
RUN: [soundMan] SOUNDMAN.EXE
RUN: [CHotkey] mHotkey.exe
RUN: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
RUN: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
RUN: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
RUN: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
RUN: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
RUN: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
RUN: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
RUN: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
RUN: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe
RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
RUN: [WebrootDesktopFirewall] C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t
RUN: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan
RUN: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
RUN: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe
RUN: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
**** Browser Helper Objects ****
BHO: [AcroIEHlprObj Class] C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
**** IE Toolbars ****
TOOLBAR: [AOL Toolbar] C:\Program Files\AOL Toolbar\toolbar.dll
TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx
**** IE Extensions ****
IEExt: []
IEExt: [Web Browser Applet Control] C:\WINDOWS\System32\msjava.dll
IEExt: [AOL Toolbar] C:\WINDOWS\System32\msjava.dll
IEExt: [Real.com] C:\WINDOWS\System32\msjava.dll
IEExt: [Messenger] C:\Program Files\Messenger\MSMSGS.EXE
**** Hosts File Entries ****
HOSTS: 127.0.0.1 localhost
**** IE Settings ****
Default Page: http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\System32\blank.htm
Search Bar: http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm
Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
**** IE Context Menu (Right click) ****
IEContext: [&Recherche AOL Toolbar] res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
**** Layered Service Providers ****
LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [uDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] DATAGRAM 4
**** Blocked Control Panel Items ****
BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No
**** Downloaded Program Files ****
DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab]
Interface Chat Wanadoo [http://chat15.x-echo.com/version4/Applet/wchatsign.cab]
Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab]
ppctlcab [http://www.pestscan.com/scanner/ppctlcab.cab] C:\WINDOWS\Downloaded Program Files\ppctl.dll
{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} [http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab]
{17492023-C23A-453E-A040-C7C580BBF700} [http://go.microsoft.com/fwlink/?linkid=39204] C:\WINDOWS\System32\LegitCheckControl.DLL
{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} [http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab] C:\WINDOWS\Downloaded Program Files\navapi32.dll C:\WINDOWS\Downloaded Program Files\avsniffdlgs.dll C:\WINDOWS\Downloaded Program Files\avsniff.dll
{2FC9A21E-2069-4E47-8235-36318989DB13} [http://www.pestscan.com/scanner/axscanner.cab]
{33564D57-0000-0010-8000-00AA00389B71} [http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB]
{4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} [http://aolcc.aol.fr/computercheckup/qdiagcc.cab] C:\WINDOWS\System32\DLPT.VXD C:\WINDOWS\System32\DDMI2.sys C:\WINDOWS\System32\qdiagcc.ocx C:\WINDOWS\System32\DAntivirus.cfg
{56393399-041A-4650-94C7-13DFCB1F4665} [http://www.my-etrust.com/Support/PestScanner/pestscan.cab]
{6414512B-B978-451D-A0D8-FCFDF33E833C} [http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130442705793]
{644E432F-49D3-41A1-8DD5-E099162EEEC5} [http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab]
{6E5A37BF-FD42-463A-877C-4EB7002E68AE} [http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab]
{74D05D43-3236-11D4-BDCD-00C04F9A3B61} [http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab]
{7F8C8173-AD80-4807-AA75-5672F22B4582} [http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37480.cab]
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-1_4_2-windows-i586.cab]
{8EC69950-F299-40AC-A004-3BF5176F8F7B} [http://www.checkspy.com/fr/FlowScan.cab]
{981D847D-2C06-4FB7-A09C-4F0A48601B2C} [http://techcity.aol.fr/download/img/DiagSetup.cab]
{9A9307A0-7DA4-4DAF-B042-5009F29E09E1} [http://acs.pandasoftware.com/activescan/as5free/asinst.cab]
{B38870E4-7ECB-40DA-8C6A-595F0A5519FF} [http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab]
{CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
**** Windows Services ****
[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AOL ACS] C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
[AOLService]
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[aswUpdSv] "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[avast! Antivirus] "C:\Program Files\Alwil Software\Avast4\ashServ.exe"
[avast! Mail Scanner] "C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service
[avast! Web Scanner] "C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service
[bITS] %SystemRoot%\System32\svchost.exe -k netsvcs
[browser] %SystemRoot%\System32\svchost.exe -k netsvcs
[bUQDYWQ]
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs
[DLHUA]
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService
[DRA]
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs
[ewido security suite control] C:\Program Files\ewido anti-malware\ewidoctrl.exe
[EX]
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[FWUJDJXPHMW]
[GBTKWNZAO]
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[HPMUOJOOY]
[HVERKLBUQ] C:\DOCUME~1\sandra\LOCALS~1\Temp\HVERKLBUQ.exe
[iCTCVQZJMJZLRCC]
[imapiService] C:\WINDOWS\System32\imapi.exe
[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs
[MLAVBV]
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[NUICP]
[OLXERHPG] C:\DOCUME~1\sandra\LOCALS~1\Temp\OLXERHPG.exe
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[QHKHLE]
[QNLASVFEDGZB]
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[samSs] %SystemRoot%\system32\lsass.exe
[sCardDrv] %SystemRoot%\System32\SCardSvr.exe
[sCardSvr] %SystemRoot%\System32\SCardSvr.exe
[schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[sENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[sharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[shellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[sLService] slserv.exe
[spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs
[sSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc
[svcWRSSSDK] C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
[swPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{19BC5DA9-6015-474F-886C-A1E69ABBA835}
[sysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[TUWinStylerThemeSvc] "C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe"
[TWZCDN]
[TYNUE] C:\DOCUME~1\sandra\LOCALS~1\Temp\TYNUE.exe
[uMWdf] C:\WINDOWS\System32\wdfmgr.exe
[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService
[uPS] %SystemRoot%\System32\ups.exe
[uWAWCA]
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WANMiniportService] "C:\WINDOWS\wanmpsvc.exe"
[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService
[WebrootDesktopFirewallDataService] C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe
[WebrootFirewall] C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[WT]
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WUKPHH]
[wwSecSvc] C:\WINDOWS\System32\wwSecure.exe
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs
[XIUETTBU]
[YWUEBXAQDFGIQ]
**** Custom IE Search Items ****
SEARCH: [searchAssistant] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm
SEARCH: [searchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
**** Complete IE Options ****
IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm
IEOPT: [save_Session_History_On_Exit] no
IEOPT: [show_FullURL] no
IEOPT: [show_StatusBar] yes
IEOPT: [show_ToolBar] yes
IEOPT: [show_URLinStatusBar] yes
IEOPT: [show_URLToolBar] yes
IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
IEOPT: [use_DlgBox_Colors] yes
IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] no
IEOPT: [use FormSuggest] yes
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [AddToFavoritesExpanded]
IEOPT: [AutoSearch]
IEOPT: [Move System Caret] no
IEOPT: [Expand Alt Text] no
IEOPT: [Print_Background] no
IEOPT: [Enable_MyPics_Hoverbar] yes
IEOPT: [show image placeholders]
IEOPT: [Enable AutoImageResize] yes
IEOPT: [Play_Animations] yes
IEOPT: [Play_Background_Sounds] yes
IEOPT: [Display Inline Videos] yes
IEOPT: [FavIntelliMenus] no
IEOPT: [Enable Browser Extensions] yes
IEOPT: [useThemes]
IEOPT: [NoWebJITSetup]
IEOPT: [Friendly http errors] yes
IEOPT: [showGoButton] yes
IEOPT: [Page_Transitions]
IEOPT: [NscSingleExpand]
IEOPT: [Force Offscreen Composition]
IEOPT: [AllowWindowReuse]
IEOPT: [smoothScroll]
IEOPT: [LastCheckedHi] w$Æ s
IEOPT: [use Custom Search URL]
IEOPT: [search Bar] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm
IEOPT: [Check_Associations] yes
IEOPT: [First Home Page] http://www.microsoft.com/isapi/redir.dll?P...ie5update&O1=b1
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no
IEOPT: [search Bar] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm
IEOPT: []
IEOPT: [Check_Associations] yes
Logfile of HijackThis v1.99.1
Scan saved at 20:19:27, on 31/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WebrootDesktopFirewall] C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t
O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37480.cab
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EX - ewido networks - (no file)
O23 - Service: NUICP - - (no file)
O23 - Service: QHKHLE - Sonic Solutions - (no file)
O23 - Service: QNLASVFEDGZB - Sonic Solutions - (no file)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TWZCDN - TuneUp Software GmbH - (no file)
O23 - Service: TYNUE - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\TYNUE.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Webroot Desktop Firewall Data Service (WebrootDesktopFirewallDataService) - Webroot Software, Inc. - C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe
O23 - Service: Webroot Desktop Firewall (WebrootFirewall) - Unknown owner - C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe
SCAN DU 25 JANVIER 06 je ne me souviens plus du logiciel qui teste….
?xml version = "1.0"?>
<Session START = "25 Jan 06 20:47:08" END = "25 Jan 06 20:47:08">
<Information Version = "4.21" DatabaseVersion = "140" DataBaseDate = "5 JAN 2006"/>
<Information OS = "Win XP"/>
<Information ServicePack = "Service Pack 1"/>
<Information WorkingDirectory = "C:\Program Files\XoftSpy\"/>
<Information Option = "AdvSpyware Scan" State = "ON"/>
<Information Option = "Scan IE Favorites" State = "ON"/>
<Information Option = "Scan Host Files" State = "ON"/>
<Information Option = "Scan Drives" State = "ON"/>
<Information Option = "Do Not Scan Executables" State = "OFF"/>
<Information Option = "Scan Registry" State = "ON"/>
<Information Option = "Scan Active Processes" State = "ON"/>
<Information Option = "Automatic Database Update" State = "ON"/>
<Information Option = "Automatic Program Update" State = "ON"/>
<Information Option = "Automatic Removal" State = "OFF"/>
<Information Option = "Exit When Finished" State = "OFF"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Run"/>
<Information Value = "CTFMON.EXE" Data = "C:\WINDOWS\System32\ctfmon.exe" MD5 = "2c856908ee61424238772508e9fbcbc8" Path = ""/>
<Information Value = "OM_Monitor" Data = "C:\Documents and Settings\sandra\Mes documents\Monitor.exe" MD5 = "d7d30d6be7503fee1938bd395e8f586d" Path = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Run"/>
<Information Value = "SiS Tray" Data = "C:\WINDOWS\System32\sistray.EXE" MD5 = "8d30cba10f1ebd4a871ecb5fb01da064" Path = ""/>
<Information Value = "SiS KHooker" Data = "C:\WINDOWS\System32\khooker.exe" MD5 = "72be43d079aa46a7c8eb1f0e114df3b0" Path = ""/>
<Information Value = "SoundMan" Data = "SOUNDMAN.EXE" MD5 = "f9bfdff7e19127ca836338f4c9236d79" Path = "C:\WINDOWS\SOUNDMAN.EXE"/>
<Information Value = "CHotkey" Data = "mHotkey.exe"/>
<Information Value = "RealTray" Data = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" MD5 = "ea9d3466ac7a7f62d386937df9cb8c41" Path = ""/>
<Information Value = "AdaptecDirectCD" Data = "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" MD5 = "a158baf602e9b5cc38ab631065554638" Path = ""/>
<Information Value = "AOLSAV" Data = "C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" MD5 = "6f558931e00ba40e26d5262de570da36" Path = ""/>
<Information Value = "AOLDialer" Data = "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" MD5 = "c9f2716a1bb17df55ed01a53833c86e8" Path = ""/>
<Information Value = "SiSUSBRG" Data = "C:\WINDOWS\SiSUSBrg.exe" MD5 = "eccdcf23cd86f033274306790a4e23e3" Path = ""/>
<Information Value = "QuickTime Task" Data = "C:\Program Files\QuickTime\qttask.exe -atboottime" MD5 = "76a3a30b58405c2c6d833895253a51a9" Path = ""/>
<Information Value = "avast!" Data = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" MD5 = "0a9883be214c4f7a65b6dff129f37b6e" Path = ""/>
<Information Value = "HostManager" Data = "C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe" MD5 = "f272c718d0a1608f04e66cad9af43d46" Path = ""/>
<Information Value = "SpySweeper" Data = "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /startintray" MD5 = "357957a49e737df44394ab3dc986855b" Path = ""/>
<Information Value = "OM_Monitor" Data = "C:\Documents and Settings\sandra\Mes documents\FirstStart.exe" MD5 = "b939172572280fb59bafef44319ef35f" Path = ""/>
<Information Value = "TrojanScanner" Data = "C:\Program Files\Trojan Remover\Trjscan.exe" MD5 = "4147ed2fad06a7a164a2b4192dced974" Path = ""/>
<Information Value = "WebrootDesktopFirewall" Data = "C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t" MD5 = "3148182a8d58e418dfd6fdffdcdf3202" Path = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Winlogon"/>
<Information Value = "Userinit" Data = "C:\WINDOWS\system32\userinit.exe,"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Winlogon"/>
<Information Value = "Shell" Data = "Explorer.exe"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Windows"/>
<Information Value = "load" Data = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Windows"/>
<Information Value = "AppInit_DLLs" Data = ""/>
2
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"/>
<Information Value = "PostBootReminder" Data = "{7849596a-48ea-486e-8937-a2a3009f31a9}"/>
<Information Value = "CDBurn" Data = "{fbeb8a05-beee-4442-804e-409d6c4515e9}"/>
<Information Value = "WebCheck" Data = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"/>
<Information Value = "SysTray" Data = "{35CEC8A3-2BE6-11D2-8773-92E220524153}"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler"/>
<Information Value = "{438755C2-A8BA-11D1-B96B-00A0C90312E1}" Data = "Pré-chargeur Browseui"/>
<Information Value = "{8C7461EF-2B13-11d2-BE35-3078302C2030}" Data = "Démon de cache des catégories de composant"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\OLE"/>
<Information Value = "DefaultLaunchPermission" Data = ""/>
<Information Value = "EnableDCOM" Data = "Y"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\Main"/>
<Information Value = "NoUpdateCheck" Data = "(DWORD) 0 0 0 0"/>
<Information Value = "NoJITSetup" Data = "(DWORD) 0 0 0 0"/>
<Information Value = "Cache_Update_Frequency" Data = "Once_Per_Session"/>
<Information Value = "Do404Search" Data = ""/>
<Information Value = "Local Page" Data = "C:\WINDOWS\System32\blank.htm"/>
<Information Value = "Start Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>
<Information Value = "Search Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>
<Information Value = "Window_Placement" Data = ""/>
<Information Value = "AddToFavoritesExpanded" Data = "(DWORD) 0 0 0 0"/>
<Information Value = "AutoSearch" Data = "(DWORD) 0x5 0 0 0"/>
<Information Value = "Show image placeholders" Data = "(DWORD) 0 0 0 0"/>
<Information Value = "UseThemes" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "NoWebJITSetup" Data = "(DWORD) 0 0 0 0"/>
<Information Value = "Page_Transitions" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "NscSingleExpand" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "Force Offscreen Composition" Data = "(DWORD) 0 0 0 0"/>
<Information Value = "AllowWindowReuse" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "SmoothScroll" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "LastCheckedHi" Data = "(DWORD) 0xbc 5 c6 1"/>
<Information Value = "Use Custom Search URL" Data = "(DWORD) 0 0 0 0"/>
<Information Value = "Search Bar" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>
<Information Value = "First Home Page" Data = "http://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1"/>
<Information Value = "Save Directory" Data = "C:\Documents and Settings\sandra\Mes documents\"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Internet Explorer\Main"/>
<Information Value = "Default_Page_URL" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>
<Information Value = "Default_Search_URL" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>
<Information Value = "Search Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>
<Information Value = "Cache_Percent_of_Disk" Data = ""/>
<Information Value = "Local Page" Data = "C:\WINDOWS\system32\blank.htm"/>
<Information Value = "Anchor_Visitation_Horizon" Data = ""/>
<Information Value = "Placeholder_Width" Data = ""/>
<Information Value = "Placeholder_Height" Data = ""/>
<Information Value = "Start Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>
<Information Value = "CompanyName" Data = "Microsoft Corporation"/>
<Information Value = "Custom_Key" Data = "MICROSO"/>
<Information Value = "Wizard_Version" Data = "6.0.2600.0000"/>
<Information Value = "Search Bar" Data = "http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>
<Information Value = "" Data = ""/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\Search"/>
<Information Value = "SearchAssistant" Data = "http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>
<Information Value = "CustomizeSearch" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Internet Explorer\Search"/>
<Information Value = "SearchAssistant" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"/>
<Information Value = "CustomizeSearch" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\SearchURL"/>
<Information Value = "provider" Data = ""/>
<Information Value = "" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\URLSearchHooks"/>
<Information Value = "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}" Data = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Internet Explorer\Toolbar"/>
<Information Value = "{4982D40A-C53B-4615-B15B-B5B5E98D167C}" Data = ""/>
<Information Value = "{8E718888-423F-11D2-876E-00A0C9082467}" Data = ""/>
3
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\Toolbar"/>
<Information Value = "LinksFolderName" Data = "Links"/>
<Information Value = "Locked" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "Theater" Data = ""/>
<Information Value = "{1E796980-9CC5-11D1-A83F-00C04FC99D61}" Data = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\exefile\shell\open\command"/>
<Information Value = "" Data = "%1 %*"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\comfile\shell\open\command"/>
<Information Value = "" Data = "%1 %*"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\batfile\shell\open\command"/>
<Information Value = "" Data = "%1 %*"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\piffile\shell\open\command"/>
<Information Value = "" Data = "%1 %*"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\scrfile\shell\open\command"/>
<Information Value = "" Data = "%1 /S"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\htafile\shell\open\command"/>
<Information Value = "" Data = "C:\WINDOWS\System32\mshta.exe %1 %*" MD5 = "3996ee482da9dba3ea49e84735733d9c" Path = ""/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Internet Settings"/>
<Information Value = "ProxyEnable" Data = "(DWORD) 0 0 0 0"/>
<Information Directory = "C:\Documents and Settings\sandra\Menu Démarrer\Programmes\Démarrage\*" Program = "Anti-Pub.lnk" LinkFile = "C:\Program Files\Antipub\antipub.exe" MD5 = "a855f66fde0e2fef6a0b47934b279791"/>
<Information Directory = "C:\Documents and Settings\sandra\Menu Démarrer\Programmes\Démarrage\*" Program = "desktop.ini" MD5 = "d6a6856702e3f0953e7246a9b4a9fe35" />
<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "AOL 9.0 Icône AOL.lnk" LinkFile = "C:\Program Files\AOL 9.0\aoltray.exe" MD5 = "63568da487a52936075829b06d484822"/>
<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "desktop.ini" MD5 = "d6a6856702e3f0953e7246a9b4a9fe35" />
<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "InterVideo WinCinema Manager.lnk" LinkFile = "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe" MD5 = "8a21673323b1e0e507a47916b7f65243"/>
<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "Lancement rapide d'Adobe Reader.lnk" LinkFile = "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" MD5 = "43362b96870ce8649f4f2ec893da93f0"/>
<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "Microsoft Recherche accélérée.lnk" LinkFile = "C:\Program Files\Microsoft Office\Office\FINDFAST.EXE" MD5 = "ecee4b3b8d91702516c86bf730f58092"/>
<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "~Disabled" MD5 = "(null)" />
<Scanning TIME = "25 Jan 06 20:47:08">
<PROCESS NAME = "C:\WINDOWS\system32\services.exe" MD5 = "fc0691097471ee374907e1024edcbd43"/>
<PROCESS NAME = "C:\WINDOWS\system32\lsass.exe" MD5 = "b7b1c150aff59455db4df082815f88f5"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "333a4db8410d8e24db06d6aebecdc7c2"/>
<PROCESS NAME = "C:\WINDOWS\System32\svchost.exe" MD5 = "333a4db8410d8e24db06d6aebecdc7c2"/>
<PROCESS NAME = "C:\WINDOWS\System32\svchost.exe" MD5 = "333a4db8410d8e24db06d6aebecdc7c2"/>
<PROCESS NAME = "C:\WINDOWS\System32\svchost.exe" MD5 = "333a4db8410d8e24db06d6aebecdc7c2"/>
<PROCESS NAME = "C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe" MD5 = "69171d10516d347ea926518228eed5c5"/>
<PROCESS NAME = "C:\WINDOWS\Explorer.EXE" MD5 = "f5909963533d861d169b737a1a8e1ef8"/>
<PROCESS NAME = "C:\Program Files\XoftSpy\XoftSpy.exe" MD5 = "14a25102642960b794b4cf5981b2c341"/>
<ScanningRegKeys>
</ScanningRegKeys>
<ScanningRegValues>
</ScanningRegValues>
<ScanningRegValuesChanged>
</SW>
<SW NAME = "Windows Update Features Disabled">
<REGVALUE NAME = "Windows Update Features Disabled software\microsoft\windows\currentversion\windowsupdate\auto update\auoptions\1:@:1"/>
<REGVALUECHANGEDFOUND NAME = "software\microsoft\windows\currentversion\windowsupdate\auto update\auoptions\1:@:1"/>
</ScanningRegValuesChanged>
<FOLDER PATH = "Viewpoint Toolbar C:\Program Files\viewpoint"/>
<FOLDER PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\AxMetaStream.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\AxMetaStream_0303001D.dll"/>
4
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\ClassIDs.ini"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\ComponentMgr_0303001D.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\ComponentRegistry.ini"/>
<FOLDER PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\AOLArt.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\AOLShell.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\AOLUserShell.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\BlueStreak.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\Cursors.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\DataTracking.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\GifReader.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\JpegReader.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\LensFlares.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\Mts2Reader.dll"/>
<FILE PATH = "Viewpoint Toolbar C:\Program Files
-
Bonjour,
Mon SOS, c'est est un, attend une réponse à un grave probléme récurrent.
Je ne ferai plus de tests, de scans, de rapports : des dizaines depuis des mois, auprés d'amis, d'informaticiens, de forums POUR RIEN.
Aprés des galéres sans fin, des nuits blanches totales, une dépression qui me gagne, il semblait impossible de DETECTER QUELQUE CHOSE sur mon PC.
Aprés des kilos de feuilles de tests, des dizainesde pages de notes, je viens de trouver il y a deux jours le nom de mon parasite, aprés avoir passé 38 h sans dormir, en restant sur l'ordinateur !!!!!!!!
Quelques jours plus tôt, j'ai passé une nuit sans dormir, à charger des logiciels, sur un forum ou finalement tout a été euthanasié en une journée par ce systeme : POTENTIALLY MASKED FILES KEYL_SE. 71724, classé comme grayware/programme espion chez TEND MICRO, le premier à faire un diagnostic en ligne.
Il est stipulé qu'il n'existe aucune info !!!!
Rien sur le net, sauf quelques pages en anglais sur un site, je ne peux déchiffrer.
J'ai trouvé des fichiers, des dizaines d'anomalies et de "signes", nous jouons au chat et à la souris !
C'est inimaginable et incroyable pour celui qui ne le vit pas.
Je suis traumatisée et dorénavant je prends tout en photos et je m'apprête à terminer un dossier pour porter plainte. J'espére qu'il lit cela, car au moment de terminer ma fiche, la connection aol à coupé net, sans entendre les bruits de la coupure (???)
Précédent forum même phénomène et ensuite, impossibilité de revenir sur le site....
Je préfére ne plus en parler...
Qui serait suffisamment pro pour me permettre de localiser mon espion ou de me dire comment répondre aux questions en anglais à TROJAN REMOVER qui m'a détecté toutes les failles contaminées (premiere fois) en mode sans échec ?
Lorsque j'arrive dans le systéme 32, une fenêtre me met en garde pour les manip....
J'ai déjà cliqué sur OK, pour renommer des dossiers, ayant réussi à traduire le message envoyé.
Hier, sur Tend micro, je finis par arriver (X essais) à "effacer", en apparence le logiciel espion.
Seulement voilé, cet aprés midi en travaillant sur mes photos pour constituer un dossier, j'ai vu une sorte de document bloc note, qui m'a intrigué: je n'avais rien 5 minutes avant...
Puis, plus rien quelques instants aprés.... disparu mais où?
Hier, je trouve dans un dossier vide, un autre dossier AVEC PLEIN DE CHIFFRES, j'ouvre et je trouve 3 photos stockées de mon écran , alors qu'il n'y avait rien !!!!!!!
Je le mets à la poubelle, je vais voir : pas trouvé.....
Je suis novice en informatique mais je pense déduire qu'il stocke et "s'envoie" ensuite ce qui l'intéresse.
Piratage de 3 ans de mails qu'il efface et des données confidentielles probablement dupliquées, des noms, des adresses, des dossiers sensibles...
Je suis contrainte de signaler aux autorités en cas de fuite, afin de me préserver d'ennuis.
Je ne formaterai pas de suite : JE VOUDRAIS IDENTIFIER L'auteur !
Il n'est pas certain que le Procureur donne une suite à mon courrier, les recherches se font surtout pour les entreprises.
Pouvez vous m'aider en partant sur la base de recherches d'infos sur ce "greyware inconnu" ?
Comment identifier l'auteur , puisqu'il détruit les logiciels en place, les antivirus, les anti spywares et empéche les mises à jour souvent. Une ou deux fois par semaine, je dois réinstaller le tout.
LOOK' n STOP installé, (avec bien des difficultés) suite à conseils, a tenu une journée !!!!
Prés de 2000 bruits en une heure environ ("boot", renvoie tout à mon PC, suite attaque si j'ai bien compris les quelques infos glanées sur "l'aide".
RIEN DANS LES RAPPORTS, je rappelle que seuls TEND MICRO ET TROJAN REMOVER ont identifié précisément les anomalies (clés) et trouvé son nom!
Je pense que le probléme ne pourrait se résoudre qu'au téléphone, trop long par écrit et imprécis.
J'ai appliqué 1O00 méthodes, 1000 conseils , en vain : il revient... et mon travail dessus est devenu un enfer : l'imprimante dysfonctionne, chaque jour du nouveau , à petites doses, mais çà bouffe une vie !!!!
Voilà partons SVP des bases de découvertes récentes pour avancer.
En espérant un lecteur trés compétent et sûr de lui car il faut tenir compte de tout ce qui a déjà été fait, c'est énorme...
Cordialement et merci par avance au génie qui s'annoncera...l'adversaire est de taille, çà je puis vous le garantir.
Programme espion Grayware KEYL_SE. 71724
dans Analyses et éradication malwares
Posté(e)