Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour,

Lors du boot j'ai une alerte me demandant de faire la MAJ d'installation du préphérique ADXAPIE. :P

d'après Google c'est un PB de périphérique fantome, mais je n'ai pas vu la solution.

J'ai fais un scan complet : Antivir, spybot, Adaware, A2 : rien

Tout ce que j'ai c'est un fichier système Adxapie dans ... localsettings\temp

 

Voici mon log si besoin :

 

Logfile of HijackThis v1.99.1

Scan saved at 10:25:27, on 01/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

C:\Documents and Settings\Famille GARDES\Mes documents\Documents Philippe\Technique PC\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redi...se=6&key=SEARCH

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL (file missing)

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/ac...ta/SymAData.cab

O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/ac.../ActiveData.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5278A998-EE7F-433C-BC70-C3175ABB130E}: NameServer = 80.10.246.130 80.10.246.3

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Posté(e)

Bonjour PHIL76, bonjour à tous,

 

Mon Google n'est sûrement pas plus malin que le tien mais me donne quelques liens :

 

- http://gladiator-antivirus.com/forum/index...aded&show=&st=&

 

- http://forum.pcastuces.com/sujet.asp?page=...&REP_ID=1114495

 

- http://www.1detect.com/forums/viewtopic.ph...5e41afad47b3747

 

- http://forums.afterdawn.com/thread_view.cfm/205879

 

- http://club.cdfreaks.com/showthread.php?t=105069

 

- http://www.techsupportforum.com/computer/topic/52970-1.html

 

- http://www.geekstogo.com/forum/WINNT_ISRVS...RUS-t12193.html

 

- http://spywarewarrior.com/viewtopic.php?t=...49e0cf319d439b1

 

Bien ! Reste à exploiter tout çà ! as-tu suivi quelques liens ?

La discussion de PCA est en Français... elle renvoie à TSF

La discussion de TSF semble avoir abouti à la résolution du problème...

 

-----

 

- supprime le fichier du répertoire Temp ?

- affiche tous les fichiers cachés

- effectue une recherche sur le disque dur : ne supprime rien, dis nous ce qu'il en est

- effectue une recherche dans la base de registres : ne supprime rien, dis nous ce qu'il en est.

- scanne avec Ewido

(les lignes ci-dessus sont hâtivement écrites et ne te donnent pas de détails sur la manière de procéder... tu ne me semble pas débutant voila pourquoi je me suis permis -bien que cette discussion soir susceptible d'être parcourue par moins expérimenté- si tu as besoin d'explications, nous te les donnerons).

Posté(e) (modifié)

Bonjour IPL

J'avais regardé ces liens en effet. La solution sur TSF est assez simple vider le Temp et passer les antispywares la conclusion positive n'est pas évidente. Sur PCA il n'en sont pas venu à bout le pb persiste au boot (comme moi)

 

J'ai suivi ts conseils:

- Supprimé fichier Adxapie dans Temp

- rebooté

- affiché les dossiers cachés

- fait une recherche sur Adxapie -> il ne le trouve plus, mais le problème persiste au boot il détecte un périphérique fantome.

- fait une recherche sur adxapie dans regedit ->

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ADXAPIE\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\adxapie

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ADXAPIE

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ADXAPIE\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\adxapie

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADXAPIE

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADXAPIE\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adxapie

HKEY_USERS\S-1-5-21-3315297295-2225799377-2427560758-1007\Software\Microsoft\Search Assistant\ACMru\5603

Modifié par PHIL76
Posté(e)

PHIL76,

Fait moi savoir si tu est encore par la et j'essaierai de te débarrasser de ce trojan ce soir.

 

Salut, je ne vais pas pouvoir être sur le PC en question avant Samedi, mais je suis preneur d'idées sur le sujet d'ici là.

 

Deux infos complémentaires :

- Le périphérique Adxapie continue de proposer son installation à chaque boot : "détection nouveau matériel demande d'insèrer le CD pour MAJ" ... évidement je refuse à chaque fois

- Après cela il ne se passe plus rien, Adxapie ne semble pas créer de service (nb de processus inchangé) et aucune tentative de sortie n'a été identifiée par ZoneAlarm.

 

... à vous lire :P

Posté(e)

Bonsoir à tous, Pas eu le temps de m'occuper de cette bestiole cette semaine ,mais je m'y mets demain !

IPL, ou d'autres, si vous avez des avis sur les entrées de registres ci-dessus... merci de votre aide.

Posté(e) (modifié)

Bonsoir,

désolé je n'avias pas vu que tu était toujours par la :P:P

 

Ok ce fichier ADXAPIE et a mon avis un trojan et n'as rien a voir avec un quelconque "driver". Par contre, cette variante semble etre difficile a éradiquer et parfois aprés de multiple tentative il disparait subitement...

 

1-Télécharger http://www.bleepingcomputer.com/files/regsearch.php

 

- dézipper dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle le nom du « programme malicieux »* Service dans la zone de recherche et clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

* Faire 3 rapport avec les désignation suivante:

« programme malicieux »

ADXAPIE

adxapie.sys

adxapie.exe

 

2- Faire une recherche dans l'explorateur windows et dis nous ou ce siture adxapie.sys, adxapie.sexe ?

ex: C:\windows\system32\adxapie.sys

 

3-Faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail):

http://www.ravantivirus.com/scan/

jusqu'à ce que "ready to scan" apparaisse

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

Ou celui la

PANDA si tu n'y arrive pas : tutorial

 

 

@+

Modifié par BipBip07
Posté(e)

Salut Bipbip

Voici les résultats de recherche pour adxapie, adxapie.sys, et adxapie.exe

Apparement il ne trouve rien pour les deux derniers. Idem avec l'explorateur windows, je ne trouve pas ces deux fichiers. Pour mémoire j'ai viré adxapie.sys l'autre jour (voir précédents posts).

Voilou !

 

 

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.2.1

 

; Results at 05/11/2005 09:04:58 for strings:

; 'adxapie'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ADXAPIE]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ADXAPIE\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ADXAPIE\0000]

"DeviceDesc"="adxapie"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ADXAPIE\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ADXAPIE\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\adxapie]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\adxapie]

"DisplayName"="adxapie"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\adxapie\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ADXAPIE]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ADXAPIE\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ADXAPIE\0000]

"DeviceDesc"="adxapie"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ADXAPIE\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\adxapie]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\adxapie]

"DisplayName"="adxapie"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\adxapie\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADXAPIE]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADXAPIE\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADXAPIE\0000]

"DeviceDesc"="adxapie"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADXAPIE\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADXAPIE\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adxapie]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adxapie]

"DisplayName"="adxapie"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adxapie\Security]

 

[HKEY_USERS\S-1-5-21-3315297295-2225799377-2427560758-1007\Software\Microsoft\Search Assistant\ACMru\5603]

"001"="adxapie"

 

; End Of The Log...

 

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.2.1

 

; Results at 05/11/2005 09:11:15 for strings:

; 'adxapie.sys'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

 

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.2.1

 

; Results at 05/11/2005 09:15:20 for strings:

; 'adxapie.exe'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

Posté(e)

Salut,

Essais ceci:

 

Copier la citation ci-dessous dans un fichier fix.txt (bloc notes) l’enregistrer sous c:\ puis changer l’extension en fix.reg et double cliquer sur fix.reg

 

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADXAPIE]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ADXAPIE]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ADXAPIE]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ADXAPIE]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adxapie]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\adxapie]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\adxapie]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\adxapie]

 

[HKEY_USERS\S-1-5-21-3315297295-2225799377-2427560758-1007\Software\Microsoft\Search Assistant\ACMru\5603]

"001"=-

 

 

Refaire la même manip en mode sans echec:

double cliquez sur fix.reg

 

Redémarrer normalement,

 

vas dans ma signature consignes de sécurité et nettois ton PC avec Easycleaner(registre uniquement), et Ccleaner.

 

Refaire un rapport Registry Search avec ADXAPIE et le communiquer.

 

A suivre...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...