Demande d'analyse de rapport HijackThis

[vld]

Bonsoir charles,

j'ai tenté la recherche Regsearch en safe mode sans plus de résultats qu'en mode normal.

Par contre, je me suis renseigné chez mon FAI, il était temps! mes infos dataient un peu, ils n'ont plus de firewall chez eux mais fournissent Noton gratuitement et je l'ai enlevé l'année passée (vraiment trop intrusif et gourmand) pour le remplacer par Kaspersky.

Voilà, merci pour le rappel, j'ai installé Zone alarm.

Depuis, plus de fenêtres de Wupd, mais zonealarm m'informe régulièrement qu'il a bloqué le trafic entrant et sortant en m'ouvrant des fenêtres internet explorer....c'est presqu'aussi dérangeant mais plus sécurisant.

A + tard

[Thanos]

salut vld

 

Je crois pas trop à la disparition miraculeuse d'un malware!Ne serait ce que pour être sûr que Wupd ne squatte pas ton pc,essaye la même recherche avec l'outil suivant:

 

Registry Search Tool de billsway:

 

Télécharge le ici: http://www.billsway.com/vbspage/ (Si ton antivirus s'affole désactive le blocage de scripts.)

Descend en bas de la page et télécharge Registry Search Tool

Dézippe le dans son dossier et lance le programme.

Copie/colle ceci:Winad Client dans le champs de recherche.

Recommence avec cette ligne:WindUpdates puis celle là=>UWFX5V_0001

Poste les rapports.

Par contre pour les alertes de Zone Alarm,ne t'inquiêtes pas! configure le avec le tutorial.

Modifié le 21 décembre 2005 par charles ingals

[vld]

Salut Charles,

Je ne crois pas non plus qu'il ait disparu, je lance ta procédure et poste les résultats

merci

[vld]

Registry search n'a apparemment rien trouvé, il me donne chaque fois la même fenêtre : "no instances of...found" pour les trois entrées proposées

[Thanos]

Veut tu refaire un scan ici stp voir si Wupd est encore là ?=>

 

Panda si tu n'y arrive pas : tutorial

[vld]

Bonsoir/bonjour Charles,

Que ce scan est long...

Et bien il est encore là, et toujours dans le registre

[Thanos]

salut vld

 

Panda ne nous donne pas beaucoup dd'infos pour le coup!On va faire une recherche supplémentaire avec

 

Registry Search Tool sur les 5 éléments suivants:

 

Bridge.brdg

{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}

{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}

{DDAF2479-6F00-4599-998A-3ED75686C6D0}

{4FDBDBAD-FEFE-4C4C-9CC1-1181052AFB12}

 

Poste le rapport s'il te plait.

[vld]

Bonsoir Charles,

voici ce que Registry Search a trouvé :

 

Pour le premier élément : no instance found

 

Pour le 2ème:

REGEDIT4

; RegSrch.vbs © Bill James

 

; Registry search results for string "{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}" 22/12/2005 17:44:37

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]

 

 

Pour le 3ème

REGEDIT4

; RegSrch.vbs © Bill James

 

; Registry search results for string "{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}" 22/12/2005 17:48:48

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}]

 

 

Pour le 4ème :

"no instance found"

 

 

Pour le 5ème :

"no instance found"

 

J'espère que c'est limpide pour toi,

A bientôt, et toujours merci de ton aide

[Thanos]

salut vld

 

La bestiolle se dévoile!Avant de créer un fichier reg pour nettoyer tout ca, je voudrais que tu fasses les recherches suivantes s'il te plait:

J'ai peur que ton pc ne soit infecté par Qoologic! on va s'en assurer,redémarre Registry Search Tool et

copie/colle cette ligne je te prie=>

 

{95C60327-8E17-44D6-98EB-7EB70CC606DD}

 

-Télécharge Track qoo.zip de bleepingcomputer

Sauvegarde le sur le bureau.

 

-Double Clique sur "Track qoo.vbs"

 

Attention: - Si ton Antivirus bloque les Scripts, tu reçevras une alerte te demandant ce qu'il faut faire. Accepte le script.

Attends quelques secondes,un fichier au format txt va s'ouvrir:copie\colle le résultat

[vld]

Bonjour Charles,

Pour la première recherche avec Registry search : "no instance found"

 

Voici le rapport de track qoo :

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"KAV50"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus for Workstation 5\\kwsprod.exe\" -run -n Workstation -v 5.0.0.0 -chkss"

"SpeedTouch USB Diagnostics"="\"C:\\Program Files\\Thomson\\SpeedTouch USB\\Dragdiag.exe\" /icon"

"MessengerPlus3"="\"C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe\""

"Zone Labs Client"="C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"NoChange"="1"

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

 

-----------------

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

 

 

Subkey --- Kaspersky Anti-Virus

{DD230880-495A-11D1-B064-008048EC2FC5}

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\ShellEx.dll

 

Subkey --- Offline Files

{750fdf0e-2a26-11d1-a3ea-080036587f03}

C:\WINDOWS\System32\cscui.dll

 

Subkey --- Open With

{09799AFB-AD67-11d1-ABCD-00C04FC30936}

C:\WINDOWS\system32\SHELL32.dll

 

Subkey --- Open With EncryptionMenu

{A470F8CF-A1E8-4f65-8335-227475AA5C46}

C:\WINDOWS\system32\SHELL32.dll

 

Subkey --- WinRAR

{B41DB860-8EE4-11D2-9906-E49FADC173CA}

C:\Program Files\WinRAR\rarext.dll

 

Subkey --- WinZip

{E0D79304-84BE-11CE-9641-444553540000}

C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

 

Subkey --- {a2a9545d-a0c2-42b4-9708-a0b2badd77c8}

Épingle du menu Démarrer

C:\WINDOWS\system32\SHELL32.dll

 

=====================

 

HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers

 

 

Subkey --- {0D2E74C4-3C34-11d2-A27E-00C04FC30871}

C:\WINDOWS\system32\SHELL32.dll

 

Subkey --- {24F14F01-7B1C-11d1-838f-0000F80461CF}

C:\WINDOWS\system32\SHELL32.dll

 

Subkey --- {24F14F02-7B1C-11d1-838f-0000F80461CF}

C:\WINDOWS\system32\SHELL32.dll

 

Subkey --- {66742402-F9B9-11D1-A202-0000F81FEDEE}

C:\WINDOWS\system32\SHELL32.dll

 

==============================

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

 

desktop.ini

WinZip Quick Pick.lnk

==============================

C:\Documents and Settings\Eric\Menu Démarrer\Programmes\Démarrage

 

desktop.ini

WinZip Quick Pick.lnk

desktop.ini

==============================

C:\WINDOWS\system32 cpl files

 

 

access.cpl Microsoft Corporation

appwiz.cpl Microsoft Corporation

desk.cpl Microsoft Corporation

hdwwiz.cpl Microsoft Corporation

inetcpl.cpl Microsoft Corporation

intl.cpl Microsoft Corporation

joy.cpl Microsoft Corporation

main.cpl Microsoft Corporation

mmsys.cpl Microsoft Corporation

ncpa.cpl Microsoft Corporation

nusrmgr.cpl Microsoft Corporation

nvtuicpl.cpl NVIDIA Corporation

odbccp32.cpl Microsoft Corporation

powercfg.cpl Microsoft Corporation

PPPoEService.cpl

QTW32.CPL Apple Computer, Inc.

QuickTime.cpl Apple Computer, Inc.

Startup.cpl

sysdm.cpl Microsoft Corporation

telephon.cpl Microsoft Corporation

timedate.cpl Microsoft Corporation

 

 

Belle journée