Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]alerte virus

rimbaut

Par rimbaut
dans Analyses et éradication malwares

 Partager

Messages recommandés

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e) (modifié)

Re, télécharge Killbox:

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Dézippe le sur le bureau.

 

Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne

 

Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I)

 

Double clique sur la ligne

Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de C:\WINDOWS\system32\ieat.exe" /s dans Type de démarrage, sélectionne Désactiver et valide la modification.

 

Démarre en mode sans échec (F8 ou F5)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O2 - BHO: Class - {07DD92D4-CC5A-5DAA-B7C4-DEC0B6D55959} - C:\WINDOWS\atlzt.dll

O2 - BHO: Class - {07F54D26-6DD1-1746-CC42-EC74F8DBE04C} - C:\WINDOWS\system32\iefn32.dll

O2 - BHO: Class - {2005B9B5-C183-DBA7-D764-F4CD01F0DAA3} - C:\WINDOWS\sdkmq32.dll

O2 - BHO: Class - {7B79D3C0-5BA6-4760-51E7-D201FEA013C7} - C:\WINDOWS\system32\javacu32.dll

O2 - BHO: Class - {8CBAAF48-7FE8-39B9-CD03-FE0CF7DEE5BB} - C:\WINDOWS\system32\iehw32.dll

 

O2 - BHO: Class - {D30FD21A-58EE-A738-E2D6-65F036BF9ACB} - C:\WINDOWS\system32\sdkkp.dll

 

O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe < reste de Kaspersky?

 

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ieat.exe" /s

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

Supprime les fichiers/dossiers incriminés (s'ils existent encore):

C:\WINDOWS\atlzt.dll

C:\WINDOWS\system32\iefn32.dll

C:\WINDOWS\sdkmq32.dll

C:\WINDOWS\system32\javacu32.dll

C:\WINDOWS\system32\iehw32.dll

C:\WINDOWS\system32\sdkkp.dll

C:\Program Files\AntiViral Toolkit Pro

C:\WINDOWS\system32\ieat.exe" /s

 

Ouvre PocketKillbox. Coche Delete on reboot et dans la petite fenêtre colle le chemin complet du fichier suivant:

 

C:\WINDOWS\system32\ieat.exe" /s

 

Clique sur la croix blanche sur fond rouge et aux deux messages qui vont s'afficher réponds oui.

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Exécute EasyCleaner Inutiles et Registre seulement. Ne pas toucher à la fonction doublon.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

Pour ton fond d'écran:

 

Télécharge ce fichier

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

 

Démarre en mode sans échec

 

Double-clique sur Smitfraud.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.

 

Clique sur Démarrer, puis panneau de configuration, affichage, bureau, ensuite remets un fond d'écran

 

Personnalisation du bureau

Onglet web

supprime tout ce qui se trouve là, sauf ma page d'accueil que tu laissera décochée.

 

Redémarre normalement.

Modifié par Stonangel
Lien vers le commentaire
Partager sur d’autres sites

rimbaut Extrem Member

rimbaut

Posté(e)
  • Auteur
Posté(e)

bonjour stonangel,

j'ai telecharge killbox mais je ne sais pas comment il fonctionne car ce ver continue de m'infester et il est tjrs present sur le bureau. Tu penses que l'on peut le delete. je vais refaire une nelle fois tte la manip mais j'aimerai que tu me dises qd doit on utiliser killbox.

Ce ver m'introduit des trojans chque fois que je me connecte sur ie. Heureusement que j'ai installe antivir car kaspersky ne fonctionne pas des masses apparemment.

Merci à tous pour votre aide j'espere que l'on va aboutir je suis tenace

à+

Lien vers le commentaire
Partager sur d’autres sites
Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Re dézippe Killbox sur ton bureau. Aide en images ici:

http://get.yourfile.net/ix48472.jpg

Ferme tout les programmes en cours

Double-clic sur KillBox.exe

Sélectionne "Delete on Reboot"

Copie et colle dans "Full Path of File to Delete" C:\WINDOWS\system32\ieat.exe" /s

Clic sur la croix blanche sur fond rouge

Une fenêtre va apparaître pour confirmation clique sur Oui

Une seconde fenêtre te demande si tu veux redémarrer clique sur Oui

Lien vers le commentaire
Partager sur d’autres sites
rimbaut Extrem Member

rimbaut

Posté(e)
  • Auteur
Posté(e)

bonsoir stonangel, bonsoir à tous,

et la bete est tjrs là. Qd je suis en mode sans echec et ds easycleaner je n'arrive pas à supprimer 5 fichiers qui sont :

 

c:\documents and settings\AA\local settings\historique\history.IE5

c:\documents and settings\AA\local settings\temporary internet files\contents.IE5

c:\documents and settings\AA\local settings\historique\history.IE5\index.dat

c:\documents and settings\AA\local settings\temp\perflib_perfdata_4C4.dat

c:\documents and settings\AA\local settings\temprary internet files\content.IE5_index.dat

 

voici mon scan hj trs en mode sans echec

ogfile of HijackThis v1.99.1

Scan saved at 17:53:18, on 08/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [intelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ieat.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

 

il est à noter que j'ai effectue ltte la procedure que j'ai utilise aussi bien killbox, que A.B

je suis quelque peu inquiet j'espere sur ton aide

merci à+

Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Pour Stonangel :-( . Celui là appartient à la famille des CWS :

 

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ieat.exe

 

Va falloir sortir l'artillerie lourde :P

Lien vers le commentaire
Partager sur d’autres sites
Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e) (modifié)

Re, tu as bien désactivé le service? As-tu retrouvé ton fond d'écran? Télécharge cet utilitaire Silent runners

http://www.silentrunners.org/Silent%20Runners.zip

 

Une fois téléchargé, tu le dézippes dans un dossier dédié.

Puis tu double cliques sur ce fichier, il va travailler, patiente jusqu'à l'affichage d'un message.

Un log est généré dans le même dossier, colle le log ici.

 

Les 5 fichiers sont certainement en cours d'utilisation.

 

Edit: Bonjour megataupe :P je comprends pas pourquoi ça saute pas. Il doit y avoir un programme qui le tient...

Modifié par Stonangel
Lien vers le commentaire
Partager sur d’autres sites
Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Petite incursion dans le registre:

 

Démarrer> Exécuter> Regedit> OK

 

Navigue jusqu'à:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Security Service ( 11Fßä#·ºÄÖ`I)

Si la clé existe, clic droit et supprime la.

 

Ensuite navigue jusqu'à:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Network Security Service ( 11Fßä#·ºÄÖ`I)

 

Supprime la clé et dis ce qu'il en est.

Lien vers le commentaire
Partager sur d’autres sites
rimbaut Extrem Member

rimbaut

Posté(e)
  • Auteur
Posté(e)

re,

le service n'apparait plus dans les services.msc alors que je n'ai fait que le desactiver. est ce normal ?

Qd à mon fds d'écran j'ai fait les modifs comme tu m'as dit mais le fds d'ecran choisi n'apparait pas ttefois l'ecran n'est plus noir mais bleu et l'incitation à utiliser l'antivirus source de mes problemes, je pense, n'apparait plus sur le bureau mais il doit etre caché.

je vais donc faire la manip que tu me dis il faut noter que ds hj j'ai fait un scan et que les 04 sont revenus

à+

Lien vers le commentaire
Partager sur d’autres sites
rimbaut Extrem Member

rimbaut

Posté(e)
  • Auteur
Posté(e)

voila le log de silent runners il est long....

Silent Runners.vbs", revision 39, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"(Default)" = (empty string)

"IntelWireless" = "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless" ["Intel Corporation"]

"EOUApp" = "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" ["Intel Corporation"]

"AVGCtrl" = "C:\Program Files\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

"netpr32.exe" = "C:\WINDOWS\system32\netpr32.exe" [null data]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}

"ieat.exe" = "C:\WINDOWS\system32\ieat.exe" [null data]

"apifj32.exe" = "C:\WINDOWS\system32\apifj32.exe" [null data]

"mfcbl32.exe" = "C:\WINDOWS\system32\mfcbl32.exe" [null data]

"iegn.exe" = "C:\WINDOWS\iegn.exe" [null data]

"appkr32.exe" = "C:\WINDOWS\appkr32.exe" [null data]

"mspl.exe" = "C:\WINDOWS\system32\mspl.exe" [null data]

"javafb.exe" = "C:\WINDOWS\system32\javafb.exe" [null data]

"apisv32.exe" = "C:\WINDOWS\system32\apisv32.exe" [null data]

"mssd32.exe" = "C:\WINDOWS\mssd32.exe" [null data]

"ntxx.exe" = "C:\WINDOWS\system32\ntxx.exe" [null data]

"mfcbj.exe" = "C:\WINDOWS\mfcbj.exe" [null data]

"sysgd32.exe" = "C:\WINDOWS\sysgd32.exe" [null data]

"applh.exe" = "C:\WINDOWS\applh.exe" [null data]

"winui32.exe" = "C:\WINDOWS\winui32.exe" [null data]

"winif.exe" = "C:\WINDOWS\winif.exe" [null data]

"addob.exe" = "C:\WINDOWS\addob.exe" [null data]

"sysjf32.exe" = "C:\WINDOWS\sysjf32.exe" [null data]

"iefu32.exe" = "C:\WINDOWS\system32\iefu32.exe" [null data]

"javauy.exe" = "C:\WINDOWS\system32\javauy.exe" [null data]

"addoj.exe" = "C:\WINDOWS\addoj.exe" [null data]

"sdkjs32.exe" = "C:\WINDOWS\sdkjs32.exe" [null data]

"appqa.exe" = "C:\WINDOWS\system32\appqa.exe" [null data]

"iemm.exe" = "C:\WINDOWS\iemm.exe" [null data]

"mfckc32.exe" = "C:\WINDOWS\mfckc32.exe" [null data]

"ipaj32.exe" = "C:\WINDOWS\ipaj32.exe" [null data]

"apivn.exe" = "C:\WINDOWS\apivn.exe" [null data]

"winuc32.exe" = "C:\WINDOWS\winuc32.exe" [null data]

"d3ss32.exe" = "C:\WINDOWS\system32\d3ss32.exe" [null data]

"mssa.exe" = "C:\WINDOWS\system32\mssa.exe" [null data]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

{28F322DD-9910-4EFE-1C53-52037148150A}\(Default) = "Class" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\atlgu32.dll" [null data]

{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"

-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{6B19FEC2-A45B-11CF-9045-00A0C9039735}" = "Registered ActiveX Controls"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL" [MS]

"{D545EBD1-BD92-11CF-8772-00A0C9039735}" = "Developer Studio Components"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL" [MS]

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

INFECTION WARNING! IntelWireless\DLLName = "C:\Program Files\Intel\Wireless\Bin\LgNotify.dll" ["Intel Corporation"]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

AVP\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiViral Toolkit Pro\avpshlex.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

AVP\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiViral Toolkit Pro\avpshlex.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

 

Enabled Screen Saver:

---------------------

 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18

%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Toolbars

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

 

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]

 

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]

 

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

 

Extensions (Tools menu items, main toolbar menu buttons)

 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Console Java (Sun)"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0003-ABCDEFFEDCBC}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll" ["Sun Microsystems, Inc."]

 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]

 

 

Miscellaneous IE Hijack Points

------------------------------

 

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

 

Added lines (compared with English-language version):

[strings]: START_PAGE_URL=http://www.asus.com

[strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

 

Missing lines (compared with English-language version):

[strings]: 2 lines

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

INFECTION WARNING! The running services cannot be counted.

Presence of a spyware service is suspected.

The script has been forced to exit.

 

 

 

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

took 7 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

took 7 seconds.

---------- (total run time: 26 seconds)

Lien vers le commentaire
Partager sur d’autres sites
rimbaut Extrem Member

rimbaut

Posté(e)
  • Auteur
Posté(e)
Petite incursion dans le registre:

 

Démarrer> Exécuter> Regedit> OK

 

Navigue jusqu'à:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Security Service ( 11Fßä#·ºÄÖ`I)

Si la clé existe, clic droit et supprime la.

 

Ensuite navigue jusqu'à:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Network Security Service ( 11Fßä#·ºÄÖ`I)

 

Supprime la clé et dis ce qu'il en est.

531857[/snapback]

 

je suis allé ds la br et network security service n'y est pas

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...