Demande D'information

[queruak]

D'accord pour les pipes(surtout les020 )(c'est pour masquer)..mais ici les fichiers ne sont pas masqués,et on voit bien lesquels,ainsi que leurs localisations.

 

---édité par ipl_001 : 020 correspond à 'espace'

[FLORIAN]

Bonsoir FLORIAN, tesgaz, queruak, megataupe, charles ingals, bonsoir à tous,

 

 

Il serait bon d'avoir la totalité du rapport HijackThis car çà m'étonnerait qu'il n'y ait rien d'autre !

 

JE TE JOINTS son log Hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 00:40:20, on 11/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\StartupMonitor.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\regedit.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\PROMT98\STLKRN32.EXE

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Lanceur FinePrint v5]

O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINDOWS\web\nvcadre.html

O8 - Extra context menu item: Personnaliser - C:\Program Files\PROMT98\promtie4\options.htm

O8 - Extra context menu item: Rechercher sur Internet - C:\Program Files\PROMT98\promtie4\search.htm

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O8 - Extra context menu item: Traduire la page - C:\Program Files\PROMT98\promtie4\page.htm

C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT98\promtie4\promtie5.htm

O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT98\promtie4\promtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT98\promtie4\options.htm

O9 - Extra 'Tools' menuitem: Personnalisez traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT98\promtie4\options.htm

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\System32\shdocvw.dll (HKCU)

O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\System32\shdocvw.dll (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096497568560

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{249D6FC6-93D8-464B-9B4C-3BD7998060B8}: Domain = free.fr

O17 - HKLM\System\CS2\Services\Tcpip\..\{249D6FC6-93D8-464B-9B4C-3BD7998060B8}: Domain = free.fr

O17 - HKLM\System\CS3\Services\Tcpip\..\{249D6FC6-93D8-464B-9B4C-3BD7998060B8}: Domain = free.fr

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9}|%SystemRoot%\system32\SHELL32.dll|| - (no file)

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153}|C:\WINDOWS\System32\stobject.dll| - (no file)

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9}|%SystemRoot%\system32\SHELL32.dll|| - (no file)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

 

je n'ai rien trouvé de particulier a par les lignes citées plus haut

[ipl_001]

Bonsoir FLORIAN, bonsoir à tous,

 

Je me suis trop avancé ! Il n'y a rien d'alarmant !

 

Peux-tu regarder et poster ce qu'il y a dans ces clés ?

 

HKEY_CLASSES_ROOT\CLSID\{7849596a-48ea-486e-8937-a2a3009f31a9}\InProcServer32

valeur (par défaut)

 

HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32

valeur (par défaut)

 

HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32

valeur (par défaut)

 

Merci !

[FLORIAN]

Bonsoir FLORIAN, bonsoir à tous,

 

Je me suis trop avancé ! Il n'y a rien d'alarmant !

 

Peux-tu regarder et poster ce qu'il y a dans ces clés ?

 

1)HKEY_CLASSES_ROOT\CLSID\{7849596a-48ea-486e-8937-a2a3009f31a9}\InProcServer32

valeur (par défaut)

 

2HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32

valeur (par défaut)

 

3HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32

valeur (par défaut)

 

Merci !

515851[/snapback]

 

Bonne nuit a toi IPL

 

1 ) %SystemRoot%\system32\SHELL32.dll

 

2 C:\WINDOWS\System32\stobject.dll

 

3%SystemRoot%\system32\SHELL32.dll

 

 

y'a un autre dossier ( merge folder ) qui contient des valeurs plutot zarbi

 

par defaut = rien

attributemask = 0xffffffff

Attributes = 0x0

ConflictOverlayIcon = %SystemRoot%\system32\SHELL32.dll,-232

Location = @shell32.dll,-12589

 

 

bon week end a tous

[queruak]

Bonjour à tous,

Bonne nuit a toi IPL

1 ) %SystemRoot%\system32\SHELL32.dll

2 C:\WINDOWS\System32\stobject.dll

3%SystemRoot%\system32\SHELL32.dll

y'a un autre dossier ( merge folder )  qui contient des valeurs plutot zarbi

par defaut  =  rien

attributemask = 0xffffffff

Attributes = 0x0

ConflictOverlayIcon = %SystemRoot%\system32\SHELL32.dll,-232

Location = @shell32.dll,-12589

bon week end  a tous

515864[/snapback]

 

J'ai éxactement la meme chose,meme le dossier avec des valeurs zarbi.LOL

 

Florian,une question toute bete...

Pour le rapport,tu as utilisé la version originale,ou la version francisée ?

Modifié le 11 juin 2005 par queruak

[philae]

Bonjour tout le monde

 

 

pour suivre cette conversation très intéressante !!!

[ipl_001]

Bonjour FLORIAN, philae, queruak, bonjour à tous,

 

Pas le moindre pipe à l'horizon chez toi !

 

J'ai strictement les mêmes données dans ma base de registres !

 

Queruak a une bonne question concernant ta version d'HijackThis !

 

 

 

P.S.: J'ai plein d'outils pour lister les informations de la BdR (à commencer par RegInfo et ListReg-gM), ce serait bien que je les fasse utiliser !

[Invité tesgaz]

salut,

 

est-ce qu'il peut regarder les ligne à cet endroit :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

 

a verifier en hexadecimal

[ipl_001]

Rebonjour FLORIAN, rebonjour à tous,

 

---édition : Zut ! Bonjour tesgaz, j'ai mis si longtemps avant de composer mon post que tu as dégainé avant... je suis mort !

 

Salut a vous deux  ipl_001 , queruak

Auriez vous des infos concernant  ces lignes la  parce que l'on m'a envoyer un rapport mais la j'ai du mal a trouver

y'a til un danger de les enlever ??

la personne m'a dit que lorsque qu'elle enlevait tout ca elle n'avait plus d'icone a cote de l'horloge  j'ai eu du mal a la croire (mais possible) 

 

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9}|%SystemRoot%\system32\SHELL32.dll|| - (no file)

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153}|C:\WINDOWS\System32\stobject.dll| - (no file)

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9}|%SystemRoot%\system32\SHELL32.dll|| - (no file)

 

merci a vous  de m'éclairer

Cordialement @+ Florian

515272[/snapback]

Je reviens à ton message initial :

Si j'ai bien compris, l'internaute en question a fixé les 3 lignes du rapport HJT et a récolté un dysfonctionnement qui est la disparition des icônes de la zone de notification...

Je suppose qu'il a restauré en utilisant les fichiers BackUp d'HJT.

 

 

 

---

Nous avons apparemment les mêmes choses dans les 3 clés listées...

 

Des différences seraient-elles dans les clés SSODL ?

 

Veux-tu bien nous lister ce qu'il y a dans :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

valeurs :

0) (par défaut)

1) CDBurn

2) PostBootReminder

3) SysTray

4) WebCheck

En prêtant attention à d'éventuels pipes à ces endroits et en regardant la donnée affichée et aussi la donnée obtenue en double cliquant sur la valeur...

 

Non de nom, d'où sortent ces pipes ? Voici les données de mon système :

0) (par défaut) REG_SZ (valeur non définie)

1) CDBurn REG_SZ {fbeb8a05-beee-4442-804e-409d6c4515e9}

2) PostBootReminder REG_SZ {7849596a-48ea-486e-8937-a2a3009f31a9}

3) SysTray REG_SZ {35CEC8A3-2BE6-11D2-8773-92E220524153}

4) WebCheck REG_SZ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}

 

Merci !

 

Il serait possible d'effectuer une mise à jour de ces clés en se fiant à un système sain (qui ne liste pas les 3 O21) mais j'aimerais bien percer le mystère et mettre le doigt sur le truc !

[queruak]

Rebonjour à tous,

 

 

En listant ce qu'il y a dans :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

valeurs :

0) (par défaut)

1) CDBurn

2) PostBootReminder

3) SysTray

4) WebCheck

 

Voici ce que j'obtiens:Exactement les memes données.

 

0) (par défaut) REG_SZ (valeur non définie)

1) CDBurn REG_SZ {fbeb8a05-beee-4442-804e-409d6c4515e9}

2) PostBootReminder REG_SZ {7849596a-48ea-486e-8937-a2a3009f31a9}

3) SysTray REG_SZ {35CEC8A3-2BE6-11D2-8773-92E220524153}

4) WebCheck REG_SZ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}

Modifié le 11 juin 2005 par queruak