les exe(s) qui ne demarrent plus !

[Mascun84]

Dur, dur ce blème. Voici ce que propose la Tanière pour un problème d'exe corrompus :

 

    *

 

      Redémarrer l'ordinateur en mode sans échec (au démarrage du PC, appuyer sur la touche F8 - plusieurs fois si nécessaire afin d'obtenir le menu d'amorçage offrant les options)

    *

 

      Dans une session Administrateur ou d'utilisateur avec droits d'administration, ouvrir les Propriétés du système (Windows+Pause) et, sous l'onglet Restauration du système, cocher la case Désactiver la Restauration du système sur tous les lecteurs.

    *

 

      Par Démarrer/Exécuter... (ou Windows+r), saisir command.com

    *

 

      A l'invite, saisir successivement les commandes suivantes, en appuyant sur Entrée entre chacune

 

      cd\

      cd \windows (taper un espace entre cd et \)

      copy regedit.exe regedit.com

      start regedit.com

    *

 

      Dans l'Editeur de Registre qui s'ouvre après avoir appuyé sur Entrée à la suite de la dernière commande, naviguer jusqu'à la clé HKEY_CLASSES_ROOT\exefile\shell\open\command

    *

 

      Dans le volet droit, double-cliquer sur la valeur (par défaut)

    *

 

      Supprimer la mention figurant dans la zone Données de la valeur  et saisir à la place le paramètre "%1" %* (syntaxe: guillemet - pourcent - chiffre 1 - guillemet - espace - pourcent - astérisque)

    *

 

      Quitter l'éditeur et réactiver la Restauration du système

    *

 

      Redémarrer l'ordinateur en mode normal. Tout devrait être rentré dans l'ordre

 

Note: Une fois la procédure terminée, vérifier immédiatement le système avec un anti-virus mis à jour pour éradiquer l'éventuel coupable.

 

Source : http://www.d2i.ch/pn/az/e.html

580304[/snapback]

[Thanos]

Tu ne peux pas ouvrir hijackthis , on va donc supprimer directement les fichiers sur le DD:

 

-redémarre le PC, en mode sans échec(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

-Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

 

 

Démarrer> Paramètres> Panneau de configuration> Ajout/suppression des programmes

-NETCONTROL VIRUS

-VAP software(?)

 

ensuite tu vas dans le menu démarrer executer et tu tapes : cmd

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc stop Net Control 2 Server

sc delete Net Control 2 Server

 

Un message t'avertis du succes de l'opération

 

-supprimer les fichiers ci dessous si ils sont présent :(en gras)

 

-C:\WINDOWS\System32\hgqhp.exe => LE FICHIER

-C:\WINDOWS\System\svchost.exe =>LE FICHIER

-C:\Program Files\Net Control 2 => LE DOSSIER

 

Redémarre et retente de démarrer hijackthis , puis poste un rapport

 

Essaie ca déjà ! Je vous laisse , je vais bosser

Modifié le 28 septembre 2005 par charles ingals

[Mascun84]

580323[/snapback]

Encore quelques infos en plus :

 

Dans IE, je n'ai plus de barre de menu, j'ai les icones et tout le reste, mais pas les menu.

Aprés un petit tour en mode normal ( pour voir), mon fond d'écran est viré, remplacé par du tout bleu ... et tjs ce curseur carré noir.

 

Autre chose encore, je ne peu plus faire de recherche dans mes répertoires, XP me retourne à chaque fois qu'il ne trouve pas le chemin ?!?

 

Un petit tour dans sysedit.exe, je n'ai plus rien dans le config.sys ni dans l'Autoexec.bat. Je sais que cela ne vaut plus grand chose ( le bon vieux temps du DOS) mais ça me chiffone quand même un peu

[Thanos]

mascun fais déjà les suppressions des fichiers vérolés en mode sans échec.

 

Puis :-Télécharge LSPfix -> http://www.downloads.subratam.org/lspfix.zip

 

-Démarre LSPFix :

 

Coche 'I know what I'm doing'

 

Clique sur 'Finish

[Mascun84]

Tu ne peux pas ouvrir hijackthis , on va donc supprimer directement les fichiers sur le DD:

 

-redémarre le PC, en mode sans échec(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

-Assure toi d'avoir accès à tous les fichiers.

Démarrer> Paramètres> Panneau de configuration> Ajout/suppression des programmes

-NETCONTROL VIRUS

-VAP software(?)

 

ensuite tu vas dans le menu démarrer executer et tu tapes : cmd

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc stop Net Control 2 Server

sc delete Net Control 2 Server

 

Un message t'avertis du succes de l'opération

 

-supprimer les fichiers ci dessous si ils sont présent :(en gras)

 

-C:\WINDOWS\System32\hgqhp.exe => LE FICHIER

-C:\WINDOWS\System\svchost.exe =>LE FICHIER

-C:\Program Files\Net Control 2 => LE DOSSIER

 

Redémarre et retente de démarrer hijackthis , puis poste un rapport

 

Essaie ca déjà ! Je vous laisse , je vais bosser

580327[/snapback]

 

Je t'avais dit que c'etait le dernier log que j'avais peu faire, j'ai déjà viré hgqhp.exe et svchost.exe, quant à Net control 2, c'est un prog tout ce qu'il y a de reglo que j'utilise depuis 3 ans qui me sert au controle des ordis de mes réseaux au boulot ( style VPC).

 

donc ce n'est encore pas la bonne piste je pense

 

zut de crotte !

 

nota: j'ai la chance d'avoir deux machine ce qui me permet de ne pas être sur le net avec celle qui pose prob et de passer d'un écran à l'autre

 

Il est tard, je remets ma machine sur le net et je lui fait tourner un anti-vir online ( bitdefender) je ne risque plus grand chose, et pendant ce temps je vais dormir un brin !

 

Bonsoir à tous, A +

Modifié le 28 septembre 2005 par Mascun84

[ipl_001]

Bonsoir Mascun84, charles ingals, megataupe, BipBip, bonsoir à tous,

 

J'ai 35 posts de retard... j'espère que vous ne m'en voudrez pas si je n'ai pas bien lu et si je poste des choses qui datent !

 

Mascun84, si tu pouvais ne pas reproduire systématiquement les posts qui précèdent, ce serait bien plus facile à lire !

 

 

 

Dans quelles conditions as-tu pu lancer HijackThis ?

Parviens-tu maintenant à lancer RegEdit ?

 

 

 

Voici les lignes néfastes du rapport HijackThis qu'il conviendrait d'éliminer :

- dans la base de registres

- sur le disque

- dans les processus (si elles existent)

- dans les services (si elles existent)

 

Désactive les uilitaires de protection le temps du nettoyage :

TeaTimer (SpyBot)

Protection du Panneau de Configuration

 

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

 

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

O10 - Broken Internet access because of LSP provider 'nclsp.dll' missing

(charles ingals t'a fait passer LSPfix... l'as-tu fait ?)

 

O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

 

O21 - SSODL: Adobe GoLive CS2 Français - {E8F766CB-9090-6258-9DB5-7E11732D4BF8} - c:\program files\adobe\adobe golive cs2\alpf32.dll

(pourquoi Google ne me donne-t-il pas le moindre lien ? es-tu sûr de cet utilitaire ?)

 

 

 

Quelques liens que tu pourrais examiner pour voir si certains fichiers incriminés ne seraient pas sur ton disque :

- http://www.symantec.com/avcenter/venc/data...an.flush.f.html

- http://www.sophos.com/virusinfo/analyses/trojhaxdoored.html

 

 

 

Pourrais-tu lancer SilentRunners d'Andrew Aronoff ?

- vas à cette page Web

- Ctrl-A et Ctrl-C pour copier le contenu de la page dans le presse papier

- ouvre le Bloc Notes

- Ctrl-V pour coller le fichier

- sauvegarde sous le nom SilentRunners.VBS

- vérifie que le nom de fichier est bien celui indiqué (et nom avec un .txt à la fin)

- lance l'exécution du programme

- poste le rapport

[Mascun84]

Bonjour !

 

Voici le rapport genere par SilentRunners, il semble qu'il y ai pas mal de choses !

D'autre part tous les clefs registre dont tu me parlais sont déjà enlevée, mon log Hijackthis était un peu vieux. Le dernier que j'ai peu faire....

 

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"AOLSAV" = "C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" ["TechCity Solutions France"]

"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

"Dell QuickSet" = "C:\Program Files\Dell\QuickSet\Quickset.exe" [empty string]

 

HKLM\Software\Microsoft\Active Setup\Installed Components\

>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"

\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"

-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Explorateur de Bureau"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Sonic\RecordNow!\shlext.dll" [null data]

"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]

"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]

INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

INFECTION WARNING! "{23246306-E6FB-4869-88ED-B4D4B5041EC1}" = "System Registry Hook"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\mscom32.dll" [file not found]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"Adobe GoLive CS2 Français" = "{E8F766CB-9090-6258-9DB5-7E11732D4BF8}"

-> {CLSID}\InProcServer32\(Default) = "c:\program files\adobe\adobe golive cs2\alpf32.dll" [file not found]

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! avpu32\DLLName = "avpu32.dll" [** WMI GetObject error **]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\context.dll" ["ewido networks"]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\context.dll" ["ewido networks"]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\Perso\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

 

 

Enabled Screen Saver:

---------------------

 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\SSMARQUE.SCR" [MS]

 

 

Startup items in "Perso" & "All Users" startup folders:

-------------------------------------------------------

 

C:\Documents and Settings\Perso\Menu Démarrer\Programmes\Démarrage

"Adobe Gamma" -> shortcut to: "C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

"Lancement rapide d'Adobe Reader" -> shortcut to: "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]

"Lancer l'utilitaire Olitec" -> shortcut to: "C:\Program Files\OLITEC - Moniteur réseau 802.11g\WlanUtil.exe" [empty string]

"Lotus Organizer EasyClip" -> shortcut to: "C:\lotus\organize\easyclip.exe /LFR" ["Lotus Development Corporation"]

"Lotus QuickStart" -> shortcut to: "C:\lotus\wordpro\ltsstart.exe" ["Lotus Development Corporation"]

"Lotus SmartCenter" -> shortcut to: "C:\lotus\smartctr\smartctr.exe /LFR" ["Lotus Development Corporation."]

"WinZip Quick Pick" -> shortcut to: "C:\Program Files\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc."]

 

 

Enabled Scheduled Tasks:

------------------------

 

"Rappel d'abonnement 1 auprès de l'ISP" -> launches: "C:\WINDOWS\System32\OOBE\OOBEBALN.EXE /sys /i /n:1" [MS]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Explorer Bars

 

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

 

Extensions (Tools menu items, main toolbar menu buttons)

 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{36ECAF82-3300-8F84-092E-AFF36D6C7040}\

"ButtonText" = "Run WinHTTrack"

"MenuText" = "Launch WinHTTrack"

"CLSIDExtension" = "{86529161-034E-4F8A-88D2-3C625E612E04}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll" [null data]

 

{4982D40A-C53B-4615-B15B-B5B5E98D167C}\

"ButtonText" = "AOL Toolbar"

"MenuText" = "AOL Toolbar"

"CLSIDExtension" = "{4982D40A-C53B-4615-B15B-B5B5E98D167C}"

 

{85D1F590-48F4-11D9-9669-0800200C9A66}\

"MenuText" = "Uninstall BitDefender Online Scanner v8"

"Exec" = "%windir%\bdoscandel.exe" [null data]

 

 

Miscellaneous IE Hijack Points

------------------------------

 

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

 

Added lines (compared with English-language version):

[strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

 

Missing lines (compared with English-language version):

[strings]: 1 line

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

AOL Connectivity Service, AOL ACS, "C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe" ["America Online, Inc."]

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]

avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]

ewido security suite control, ewido security suite control, "C:\Program Files\ewido\security suite\ewidoctrl.exe" ["ewido networks"]

Kerio Personal Firewall 4, KPF4, "C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe" ["Kerio Technologies"]

NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]

TabletService, TabletService, "C:\WINDOWS\System32\Tablet.exe" ["Wacom Technology, Corp."]

 

 

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 238 seconds, including 4 seconds for message boxes)

 

Merci de l'aide et des conseils

 

Ps: encore une nouveauté, dans IE, quelque soit lelien demandé, je suis toujours redirigé vers microsoft.com/suite de mon lien !?!

Modifié le 29 septembre 2005 par Mascun84

[Mascun84]

Encore quelques conseil s'il vous plait,

Dans mon log SilentRunners, j'ai bien 4 entrée registre qui sont données comme infectés, et bien que j'arrive à ouvrir regedit, je ne peut rien y modifier, ni avec regseeker. Une fois l'entrée selectionnée, jene peu pas la supprimer, même en mode sans !

 

Existe-t-il une autre methode pour aller modifier la base de registre.

(Hijackthis ne fonctionne tjs pas )

 

Une autre info, car je continu mes recherches, toutes les app qui me permettraint d'aller toucher au system sont bloquées, quant je les lances, elles declenchent bien leur process dans le gestionnaire, mais soit elle sont tout de suite arrétés soit elle semblent tourner, mais en arrière plan, derrière mon faux bureau avec se curseur carré noir

 

Je n'ai bientôt plus de cheveux,

 

merci !

[Thanos]

salut Mascun84

 

Excuse pour " Net Control 2 Server" je ne me suis appliqué qu'a rechercher le processus

 

qui avait des similitudes avec un trojan "NETCONTROL VIRUS" !

 

As tu désactivé le Tea Timer comme te l'as demandé ipl?, j'ai l'impression qu'il a un peu

 

interféré avec les fichiers reg qu'on a tenté de lancer sur le pc!

j'ai bien 4 entrée registre qui sont données comme infectés

De quelles entrées parles tu?

[Mascun84]

 

Salut charles ingals !

 

Voici les entrée qui me semble poser probléme:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]

INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

INFECTION WARNING! "{23246306-E6FB-4869-88ED-B4D4B5041EC1}" = "System Registry Hook"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\mscom32.dll" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! avpu32\DLLName = "avpu32.dll" [** WMI GetObject error **]

 

de plus dans ma liste d'app lancés au demarrage, j'ai maintenant du winlogon (4) qui lance entre autre "avpu32.dll" alors que je n'avais jamais rien eu de tel ?

Modifié le 29 septembre 2005 par Mascun84