Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Avant qu'ipl_001 ne te donne la solution (tu vera ce sera explicite et simple) installes Hijackthis correctement pas dans un repertoire temporaire:

E:\DOCUME~1\dam's\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis[1].zip\HijackThis.exe

 

voici comment l'installer:

IMPORTANT: Installer Hijackthis correctement !

L’installer sous C:\hijackthis par exemple (pas dans un fichier temps)

Tutorial téléchargement et installation et utilisation HJT

Modifié par BipBip07

Posté(e)

Rebonsoir dam's62, tesgaz, BipBip, rebonsoir à tous,

 

J'applique une méthode en provenance de hijackthis.de, rapportée par queruak et rangée dans -=Ressources=- ( http://forum.zebulon.fr/index.php?showtopi...64entry532564 ) :

 

 

 

-1-Télécharger l'outil

ABIremover.zip

ou d'ici:

Nail/Bolder/Aurora Remover 0.3.1 Beta

 

-2-Redémarrer en mode sans echec (impérativement en mode sans echec)

 

-3-Installer ABIRemover.exe, patienter... pendant l'installation l'explorateur windows se fermera.

 

-4-Redémarrer en mode sans echec.

 

-5-Lancer Hijackthis et "fixer" toutes les lignes néfastes.

F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe

 

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt2_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab

O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} - http://213.11.100.127/websetup/websetup2.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

 

-6-Supprime le fichier

E:\WINDOWS\System32\wdfmgr.exe

 

-7-Redémarrer normalement puis effectuer un scan antivirus en ligne.

RAV Online Virus Scan -> http://www.ravantivirus.com/scan/

(clique sur To continue without subscribing clic here ; attend l'affichage de Ready to scan ; coche Autoclean puis clique sur Scan my PC")

 

-8-Tu as 2 antivirus résidents : choisis en un et désinstalle l'autre

Posté(e)

Logfile of HijackThis v1.99.1

Scan saved at 22:16:57, on 30/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\csrss.exe

E:\WINDOWS\SYSTEM32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\System32\drivers\CDAC11BA.EXE

E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

E:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

E:\WINDOWS\system32\pctspk.exe

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\System32\wdfmgr.exe

E:\WINDOWS\system32\UStorSrv.exe

E:\WINDOWS\System32\alg.exe

E:\WINDOWS\Explorer.exe

E:\Program Files\Logitech\iTouch\iTouch.exe

E:\WINDOWS\system32\atiptaxx.exe

E:\PROGRA~1\MESSAG~1\StartMessager.exe

E:\PROGRA~1\Wanadoo\CnxMon.exe

E:\PROGRA~1\Wanadoo\TaskbarIcon.exe

E:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

E:\Program Files\Logitech\MouseWare\system\em_exec.exe

E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

E:\Program Files\Wanadoo\EspaceWanadoo.exe

E:\Program Files\Wanadoo\ComComp.exe

E:\Program Files\Wanadoo\Watch.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\AVPersonal\AVWUPSRV.EXE

E:\Program Files\AVPersonal\AVGUARD.EXE

E:\Program Files\AVPersonal\AVGNT.EXE

E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Upgrader.exe

E:\WINDOWS\system32\wscntfy.exe

E:\hijackthis\HijackThis.exe

E:\WINDOWS\system32\NOTEPAD.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - E:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - E:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [zBrowser Launcher] E:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] E:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [REGSHAVE] E:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [WooCnxMon] E:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] E:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] E:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [EPSON Stylus C84 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"

O4 - HKLM\..\Run: [sCANINICIO] "E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [AVGCtrl] E:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [LDM] E:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [PicoZip] E:\Program Files\PicoZip\PicoZipTray.exe

O4 - HKCU\..\Run: [sTYLEXP] E:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = E:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt2_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab

O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} - http://213.11.100.127/websetup/websetup2.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0AC4F554-2066-4F42-B80C-FC0876180512}: NameServer = 80.10.246.130 80.10.246.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{0AC4F554-2066-4F42-B80C-FC0876180512}: NameServer = 80.10.246.130 80.10.246.3

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaCdaC11BA - Macrovision - E:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - E:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - E:\WINDOWS\system32\pctspk.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - E:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

O23 - Service: UStorage Server Service - OTi - E:\WINDOWS\system32\UStorSrv.exe

 

C'est mieux comme ça?

Posté(e)

Bonsoir Gothic_Ted,

Salut à tous,

 

je ne suis pas expers mais O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - E:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll  et  E:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe sont a virer  :P

 

sur ceux je laisse la place à des personnes plus compétantes :P

562360[/snapback]

oups mille excuses icon_rolleyes.gif

 

visiblement j'ai encore un peu de boulot pour les rapports HJT icon_biggrin.gif icon_lol.gif

 

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - E:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
Pour une ligne O2, tu vas fouiller dans "The CLSID / BHO List / Toolbar Master List" de Tony Klein, un Hollandais, ( http://castlecops.com/CLSID.html ) c'est à dire que tu entres la clé 9394EDE7-C8B5-483E-8773-474BF36AF6E4 dans la zone de recherche, ce qui te donne :
Field Value

GUID {9394EDE7-C8B5-483E-8773-474BF36AF6E4}

Filename stmain.dll

BHO Name ST

Status L BHO

Description MSN Toolbar

( http://castlecops.com/tk1051-stmain_dll.html ). Le "L" signifiant "Legitimate" / "Legitime" ; donc, tu laisses !
# "X" - Certified spyware/foistware, or other malware

# "L" - Legitimate items

# "O" - Open to debate

# "?" - Unknown Status

# "BHO" - Browser Helper Object

# "TB" - Toolbar

Si tu n'avais pas trouvé dans la liste de CastleCops, tu serais aller examiner les réponses de Google.

Cette liste sert à la fois pour les lignes O2 (BHO) et les O3 (Barres d'outils), ainsi que pour toutes les CLSID (les "numéros" de même format).

 

O4 - HKCU\..\Run: [LDM] E:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
Pour une ligne O4, tu recherches dans la StartupList de PacMan ( http://castlecops.com/StartupList.html ) c'est à dire que tu entres la clé BackWeb-8876480.exe dans la zone de recherche, ce qui te donne :
Field Value

Name LDM

Command backweb-8876480.exe, ldmconf.exe

Status N

Description Installed with the software for Logitech products. Automatically checks for software upgrades AND new products, services and special offerings from Logitech. Also listed under Logitech Desktop Messenger

( http://castlecops.com/s1829-backweb_887648...dmconf_exe.html ) et donc, tu fais ce que tu veux car çà n'a pas lieu d'être au démarrage de Windows !
"Y" - Normally leave to run at start-up

"N" - Not required - typically infrequently used tasks that can be started manually if necessary

"U" - User's choice - depends whether a user deems it necessary

"X" - Definitely not required - typically viruses, spyware, adware and "resource hogs"

"?" - Unknown

Si tu n'avais pas trouvé dans la liste de CastleCops, tu serais allé examiner les réponses de Google.

NB : La StartUpList est réservée aux programmes au démarrage de Windows (lignes O4 d'HJT) et ne doit pas être utilisée pour les processus... il y a d'autres listes pour les Processus !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...