Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonsoir bruce lee, Haret,

 

termine ces processus (alt+ctrl+suppr):

 

F:\WINNT\System32\zgwd.exe

F:\WINNT\system32\asn2.exe

 

relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :

 

O4 - HKLM\..\Run: [Windows ASN Services] zgwd.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] zgwd.exe

 

recherche et supprime en mode sans échec si nécessaire :

 

F:\WINNT\System32\zgwd.exe > le fichier

F:\WINNT\system32\asn2.exe > le fichier

 

re poste un rapport hijackthis ensuite.

 

a+

Posté(e) (modifié)

Merci Bruce pour tout ce que tu a fais,

Espérons qu'avec l'apport de Jack et autres membres de Zebulon, ça finira par se résoudre, et que ça te servira d'énréchir ton expérience, qui m'a déjà servi. Encore merci..

 

@Jack:

 

Je te remerci et attends ton analyse.

Modifié par Haret
Posté(e) (modifié)

Merci à vous Did71,

 

termine ces processus (alt+ctrl+suppr):

 

F:\WINNT\System32\zgwd.exe

F:\WINNT\system32\asn2.exe

 

relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :

 

O4 - HKLM\..\Run: [Windows ASN Services] zgwd.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] zgwd.exe

 

Ce que je trouve "impressionnant", c'est qu'après avoir supprimé les deux fichier, en relancant Hijackthis: j'ai trouvé une nouvelle entrée:

 

O4 - HKLM\..\Run: [Windows ASN Services] gjkw.exe !!

 

Vraisembablement, j'ai tenté avec cette suppression un traitement sympthomatique.. ça ferait mieux de .. "COUPER LA TETE DU TAENIA" .. voyez vous ce que je veux dire ? .. reste à savoir comment !

 

@Kevin: merci pour le lien intéressant.

Modifié par Haret
Posté(e) (modifié)

Re bonsoir a tous,

 

Commence par désinstaller Download Express via "panneau de configuration/ajout-suppression de programmes". La plupart des logiciels de téléchargements integrent des spywares.

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

*Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

1/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RealTray] F:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [Windows ASN Services] zgwd.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] zgwd.exe

 

O8 - Extra context menu item: Télécharger en utilisant Download &Express - F:\Program Files\Download Express\Add_Url.htm

 

O15 - Trusted Zone: http://www.google.fr

O15 - Trusted Zone: www.yahoo.fr

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-F:\Program Files\Download Express<---supprime tout le dossier

 

-F:\WINNT\system32\asn2.exe

-F:\WINNT\system32\azun.exe

-F:\WINNT\system32\bbmz.exe

-F:\WINNT\system32\drkk.exe

-F:\WINNT\system32\fsiy.exe

-F:\WINNT\system32\hqzy.exe

-F:\WINNT\system32\jtvv.exe

-F:\WINNT\system32\kdmo.exe

-F:\WINNT\system32\kidy.exe

-F:\WINNT\system32\kzjm.exe

-F:\WINNT\system32\lifq.exe

-F:\WINNT\system32\ncea.exe

-F:\WINNT\system32\ohoo.exe

-F:\WINNT\system32\qvcu.exe

-F:\WINNT\system32\rcdp.exe

-F:\WINNT\system32\texl.exe

-F:\WINNT\system32\tgic.exe

-F:\WINNT\system32\twew.exe

-F:\WINNT\system32\uapg.exe

-F:\WINNT\system32\uemr.exe

-F:\WINNT\system32\ygts.exe

-F:\WINNT\system32\yzaa.exe

-F:\WINNT\system32\supu.exe

 

- zgwd.exe

ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!!

 

5/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

[Windows ASN Services] zgwd.exe<---supprime si présent

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

[Windows ASN Services] zgwd.exe<---supprime si présent

 

Ferme ensuite le registre

 

 

6/ lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

 

aucun firewall sur ce rapport! Installes en un! Tu en trouveras 3 gratuits & performants dans "les consignes de sécurité" en bas pres de ma signature

 

Ce que je trouve "impressionnant", c'est qu'après avoir supprimé les deux fichier, en relancant Hijackthis: j'ai trouvé une nouvelle entrée:

 

O4 - HKLM\..\Run: [Windows ASN Services] gjkw.exe !!

 

Evidemment! Meme si tu effaces le fichier, il reviendra tant que le registre ne sera pas nettoyé manuellement!

Suis ma procédure!

Modifié par Jack_Burton
Posté(e) (modifié)

Bonjour,

 

Voici le rapport de Ewido:

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

- Créé le: 01:42:22, 03/02/2006

- Somme de contrôle: F5DD4AC7

 

- Résultats du scan:

 

C:\WINDOWS\TEMP\Find%20My%20IP.exe -> Adware.WinAD : Nettoyer et sauvegarder

F:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GLUFCXQN\Find%20My%20IP[1].exe -> Adware.WinAD : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

-----

 

Celui de HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 16:37:54, on 03/02/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

F:\WINNT\System32\smss.exe

F:\WINNT\system32\csrss.exe

F:\WINNT\system32\winlogon.exe

F:\WINNT\system32\services.exe

F:\WINNT\system32\lsass.exe

F:\WINNT\system32\svchost.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

F:\WINNT\system32\spoolsv.exe

F:\WINNT\System32\svchost.exe

F:\Program Files\ewido anti-malware\ewidoctrl.exe

F:\Program Files\Norton AntiVirus\navapsvc.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

F:\WINNT\system32\regsvc.exe

F:\Program Files\Norton AntiVirus\SAVScan.exe

F:\WINNT\system32\MSTask.exe

F:\WINNT\system32\stisvc.exe

F:\WINNT\Explorer.exe

F:\WINNT\System32\atiptaxx.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

F:\WINNT\System32\internat.exe

F:\Program Files\a-squared\a2guard.exe

F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe

F:\ADSLnav\firefox.exe

F:\WINNT\System32\ybch.exe

F:\DOCUMENTS AND SETTINGS\NOM\BUREAU\firewall_setup.exe

F:\WINNT\system32\NOTEPAD.EXE

F:\Documents and Settings\Nom\Bureau\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ccApp] "F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [update] F:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [Windows ASN Services] ybch.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] ybch.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [a-squared] "F:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: DSLMON.lnk = F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINNT\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - F:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - F:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

O23 - Service: SAVScan - Symantec Corporation - F:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - F:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

 

----

 

Remarquez que le problème de [Windows ASN services] est entrain de se régenerer avec d'autre fichiers, et ce malgrès la suppression des fichiers tel que préconisé dans la procédure, ainsi que les 2 entrées appropriées, au niveau de la base de registre.

 

Il semble qu'avec chaque nouveau de démarrage, un nouveau fichier ainsi qu'une nouvelle entrée au niveau de la base de registre sont crées. Comment juguler ce problème récidivant ?

 

Rq: lors de la tentative d'installation d'un Firewall, l'erreur suivante m'est indiquée:

 

"Unable to execute file in temporary directory, setup abordted.

Error 193: %1 n'est pas une application win32 valide".

 

(Ce problème apparait aussi avec d'autres fichiers executables).

 

De quoi s'agit-il et surtout quelle sera la prochaine conduite à tenir ?

 

J'attends vos réactions.

 

Merci par avance..

Modifié par Haret
Posté(e)

Re,

 

@Bruce Lee:

 

voici le rapport en question:

 

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/

Operating System: Windows 2000

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"internat.exe" = "internat.exe" [MS]

"a-squared" = ""F:\Program Files\a-squared\a2guard.exe"" [null data]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]

"Synchronization Manager" = "mobsync.exe /logon" [MS]

"ccApp" = ""F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]

"Update" = "F:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /DM="0" /CALLSCHEDULER" [file not found]

"Windows ASN Services" = "emrd.exe" [null data]

 

HKLM\Software\Microsoft\Active Setup\Installed Components\

{5945c046-1e7d-11d1-bc44-00c04fd912be}\(Default) = "MSN Messenger 4.6"

\StubPath = "rundll32.exe advpack.dll,LaunchINFSection F:\WINNT\INF\msmsgs.inf,BLC.Remove.PerUser" [MS]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"

-> {CLSID}\InProcServer32\(Default) = "F:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"

-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"

-> {CLSID}\InProcServer32\(Default) = "F:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]

"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"

-> {CLSID}\InProcServer32\(Default) = "F:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"

-> {CLSID}\InProcServer32\(Default) = "F:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"

-> {CLSID}\InProcServer32\(Default) = "F:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"

-> {CLSID}\InProcServer32\(Default) = "F:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "F:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"

-> {CLSID}\InProcServer32\(Default) = "F:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"

-> {CLSID}\InProcServer32\(Default) = "F:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "F:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "F:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"

-> {CLSID}\InProcServer32\(Default) = "F:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]

Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"

-> {CLSID}\InProcServer32\(Default) = "F:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "F:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

 

Startup items in "Nom" & "All Users" startup folders:

-----------------------------------------------------

 

F:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

"DSLMON" -> shortcut to: "F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe" [empty string]

 

 

Enabled Scheduled Tasks:

------------------------

 

"Symantec NetDetect" -> launches: "F:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]

"Norton AntiVirus - Analyser mon ordinateur" -> launches: "F:\PROGRA~1\NORTON~1\Navw32.exe /task:"F:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Toolbars

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\

"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "F:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

 

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"

-> {CLSID}\InProcServer32\(Default) = "F:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

 

 

Miscellaneous IE Hijack Points

------------------------------

 

F:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")

 

Added lines (compared with English-language version):

[strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

 

Missing lines (compared with English-language version):

[strings]: 2 lines

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

ewido security suite control, ewido security suite control, "F:\Program Files\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]

PPPoE Service, PPPoEService, "F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe" [null data]

SAVScan, SAVScan, "F:\Program Files\Norton AntiVirus\SAVScan.exe" ["Symantec Corporation"]

Service Norton AntiVirus Auto-Protect, navapsvc, ""F:\Program Files\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]

Symantec Event Manager, ccEvtMgr, ""F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]

Symantec Settings Manager, ccSetMgr, ""F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]

Système d'événements de COM+, EventSystem, "F:\WINNT\System32\svchost.exe -k netsvcs" {"F:\WINNT\System32\es.dll" [null data]}

 

 

----------

- This report excludes default entries except where indicated.

- To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

- The search for DESKTOP.INI DLL launch points on all local fixed drives

took 500 seconds.

- The search for all Registry CLSIDs containing dormant Explorer Bars

took 43 seconds.

---------- (total run time: 653 seconds)

 

So than, bruce ?

 

 

@Kevin: merci pour le lien, je vais télécharger cette mise à jour et voir ce que ça donne.

Posté(e)

re,

je regarde le rapport et avant de faire ce que je t'aurais marquer attend confirmation de jack burton.

 

re tout le monde.

 

pour moi il faut faire:

 

déconnecte toi du net et ferme toutes les applications en cours.

fais demarrer executer regedit

 

rend toi ici:

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

 

doubles cliques sur

Windows ASN Services

et supprimes si present emrd.exe

 

redemarre ton PC et repost un log hijackthis.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...