PowerReg Scheduler V3.exe

kdance · le 1 mars 2006

---édition ipl_001 : ce message provient de la discussion "Rapport Hijackthis -> Optimisation système !" dans laquelle kdance avait posté.

Bonjour,

Je viens de prendre connaissance de cette discussion qui date de novembre 2005, mais ayant qq soucis lorsque je me connecte à Internet en lançant FireFox (alerte de Trojan mais bloqué par l'antivirus), j'ai lancé HJT et j'ai constaté la présence de "04-Startup: PowerReg Scheduler V3.exe".

Sur ce j'ai fixé ce dernier et lorsque j'ai voulu me reconnecter à Internet, ma page d'accueil s'affiche et il ne m'est plus possible de naviguer ailleurs. J'ai tj le message Impossible d'afficher la page demandée, vérifier....etc.

Par ailleurs, j'ai trouvé les explications de "tesgaz" hautement enrichissantes. J'ai moi-même une foule de processus et de 04 ou de 08 dans mon log et ma machine rame énormément. Comme j'ai eu le pb cité plus haut je n'ose pas m'avancer plus loin. C'est pourtant diablement tentant.

Merci à tesgaz pour des encouragemets explicatifs éventuels.

ipl_001 · le 2 mars 2006

Bonjour kdance, bonjour à tous,

Je ne sais pas trop...

Dans le post ci-dessus, tu me sembles avoir toi-même essayé des choses... je veux dire que tu me sembles être capable de te débrouiller tout seul sauf cette impossibilité de changer de page Web.

Je ne sais pas si tu demandes de l'aide, si oui, poste sur le forum "Optimisation, Sécurisation, Prévention"... quelques pistes :

- vois du côté de WinSockFix de Option^Explicit -> http://www.tacktech.com/display.cfm?ttid=257

- vois du côté de MCrepair de Microsoft -> http://download.microsoft.com/download/msn...us/mcrepair.exe (ne t'inquiète pas pour le "win98" du lien, c'est bien applicable à XP !

kdance · le 2 mars 2006

Bonjour kdance, bonjour à tous,

Je ne sais pas trop...

Dans le post ci-dessus, tu me sembles avoir toi-même essayé des choses... je veux dire que tu me sembles être capable de te débrouiller tout seul sauf cette impossibilité de changer de page Web.

Je ne sais pas si tu demandes de l'aide, si oui, poste sur le forum "Optimisation, Sécurisation, Prévention"... quelques pistes :

- vois du côté de WinSockFix de Option^Explicit -> http://www.tacktech.com/display.cfm?ttid=257

- vois du côté de MCrepair de Microsoft -> http://download.microsoft.com/download/msn...us/mcrepair.exe (ne t'inquiète pas pour le "win98" du lien, c'est bien applicable à XP !

Bonjour ipl_001, bonjour à tous ces bons samaritains,

Tout d'abord merci pour la réponse mais je pense que mon post n'était pas assez explicite. Autant pour moi.

Ce qui m'intrigue c'est pourqoi, en supprimant "04 - Startup: PowerReg Scheduler V3.exe" que tout le monde dit être un Trojan, ma navigation internet est altérée.

Lorsque j'ai restauré XP, donc réinstallation de "PowerReg Scheduler", tout fonctionne de nouveau.

En d'autres termes qu'est-ce que PowerReg Scheduler ?

Par ailleurs, sans trop vouloir abuser des uns et des autres, quelqu'un pourrait-il me dire que supprimer d'emblée dans le log ci-dessous :

Logfile of HijackThis v1.99.1

Scan saved at 14:24:56, on 02/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

C:\PROGRA~1\Iomega\System32\AppServices.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

C:\WINDOWS\system32\devldr32.exe

C:\PROGRA~1\WANADOO\CnxMon.exe

C:\PROGRA~1\WANADOO\TaskbarIcon.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\Program Files\Softwin\BitDefender8\bdswitch.exe

C:\Program Files\Adobe\Photoshop Elements 4.0\apdproxy.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\System32\shellexpi.exe

C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Palm\AlarmApp.exe

C:\Program Files\Windows Media Components\encoder\Wmencagt.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Common Files\DataViz\DvzIncMsgr.exe

C:\Program Files\Palm\HOTSYNC.EXE

C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

C:\PROGRA~1\TRIBAL~1.NET\tribalweb.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\United Devices\UD.EXE

C:\Program Files\United Devices\ud_7657531.exe

C:\Program Files\United Devices\ud_7657531_0.dir\WCGrid_Rosetta.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +s

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Program Files\Copernic Desktop Search\CopernicDesktopSearchIntegration910.dll

O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [iomega Automatic Backup 1.0.1] C:\Program Files\Iomega\Iomega Automatic Backup\ibackup.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"

O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 4.0\apdproxy.exe"

O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\System32\shellexpi.exe en

O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [TClockEx] C:\Program Files\TClockEx\TCLOCKEX.EXE

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE

O4 - Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Startup: TribalWeb.net.lnk = ?

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\ADOBE\Calibration\Adobe Gamma Loader.exe

O4 - Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.EXE

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Alarm Manager.LNK = C:\Program Files\Palm\AlarmApp.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: Palm Desktop.lnk = ?

O4 - Global Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\encoder\WMENCAGT.EXE

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Common Files\DataViz\DvzIncMsgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\ADOBE\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll

O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll

O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll

O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www3.photoweb.fr/telechargement/Photoweb_uploader.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120...all/xscan53.cab

O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments Control) - https://webresponse.one.microsoft.com/oas/A...eX/FileXfer.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6330025B-F01F-4275-83EF-C575C0F04C1C}: NameServer = 80.10.246.1 80.10.246.132

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Merci beaucoup

Thanos · le 2 mars 2006

salut kdance,ipl_001

Ton pc est effectivement infecté par le backdoor Sheldor.c ! est ce que tu as commencé par suivre la procédure de nettoyage?=>

http://forum.zebulon.fr/index.php?showtopic=83986

De plus,ce n'est pas ,je pense ,le fait que tu ais supprimé "PowerReg Scheduler" qui ait altéré ta connexion!

Voilà ce qu'on peut en lire ici=> http://www.neuber.com/taskmanager/process/...eduler.exe.html

et là : http://www.leadertech.com/ereg.html

PowerReg Scheduler accompagne des progammes légitimes tel celui que tu as installé avec ton Palm.

kdance · le 3 mars 2006

salut kdance,ipl_001

Ton pc est effectivement infecté par le backdoor Sheldor.c ! est ce que tu as commencé par suivre la procédure de nettoyage?=>

http://forum.zebulon.fr/index.php?showtopic=83986

De plus,ce n'est pas ,je pense ,le fait que tu ais supprimé "PowerReg Scheduler" qui ait altéré ta connexion!

Voilà ce qu'on peut en lire ici=> http://www.neuber.com/taskmanager/process/...eduler.exe.html

et là : http://www.leadertech.com/ereg.html

PowerReg Scheduler accompagne des progammes légitimes tel celui que tu as installé avec ton Palm.

Bonsoir charles ingals,

Ce fut long, mais j'ai suivi tes recommandations. Encore merci. Je vais me dépécher de poster le log, car j'étais en train de le poster lorsque mon ordi a fait un redémarrage tout seul. Apparemment ça va.

Voici donc le log HJT après éradication de 9 "bestioles" par Antivir.

Logfile of HijackThis v1.99.1

Scan saved at 22:57:27, on 03/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

C:\PROGRA~1\Iomega\System32\AppServices.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

C:\WINDOWS\system32\devldr32.exe

C:\PROGRA~1\WANADOO\CnxMon.exe

C:\PROGRA~1\WANADOO\TaskbarIcon.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program Files\Softwin\BitDefender8\bdswitch.exe

C:\Program Files\Adobe\Photoshop Elements 4.0\apdproxy.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\shellexpi.exe

C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Palm\AlarmApp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Windows Media Components\encoder\Wmencagt.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Common Files\DataViz\DvzIncMsgr.exe

C:\Program Files\ADOBE\Acrobat 7.0\Reader\reader_sl.exe