retour de manip

[Thanos]

salut dave36

plus acces a certains sites internet,redirige vers une autre url

Bizarre! on voyait bien sur ton premier rapport un piratage de la zone de confiance, mais je t'ai fait téléchargé

Zebrestore : tu l'as bien utilisé? Reposte un nouveau rapport hijackthis mais normal cette fois ci stp.

Vers quelle url est tu redirigé?est ce=> hxxp://ny.contentmatch.net (j'ai remplacé les t de http!)

A quels sites ne peux tu pas accéder?

Bon on continue à éliminer les services infectés comme ceci:

 

Télécharger RegDACL de Frank Heyne sur le Bureau

http://www.heysoft.de/nt/reg/doc/RegDACLE.zip

 

Créer un dossier Regdacl sur le Bureau. Clic droit sur un espace vide du Bureau, Sélectionner Nouveau Dossier sur le menu et le nommer Regdacl

Dézipper les fichiers de RegDACLE.zip dans le nouveau dossier Regdacl sur le Bureau.

 

Copier / coller le texte suivant dans le Bloc-Notes. Faites en sorte que Retour automatique à la ligne n'est pas coché (Menu Format)

 

@echo off

echo %DATE% %TIME% >fixme.txt

For %%i in ("HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTLOAD","HKLM\SYSTEM\ControlSet002\Services\NTLOAD","HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD","HKLM\SYSTEM\ControlSet003\Services\NTLOAD","HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD","HKLM\SYSTEM\CurrentControlSet\Services\NTLOAD","HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSVCMGR","HKLM\SYSTEM\ControlSet002\Services\NTSVCMGR","HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSVCMGR","HKLM\SYSTEM\ControlSet003\Services\NTSVCMGR","HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR","HKLM\SYSTEM\CurrentControlSet\Services\NTSVCMGR","HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTBOOT","HKLM\SYSTEM\ControlSet002\Services\NTBOOT","HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTBOOT","HKLM\SYSTEM\ControlSet003\Services\NTBOOT","HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTBOOT","HKLM\SYSTEM\CurrentControlSet\Services\NTBOOT") Do regdacl %%i /GGE:F(CI) -ANSI>>fixme.txt

ping 1.1.1.1 -n 1 -w 5000>NUL

type fixme.txt | find /v /i "RegDACL 5.1" > newfix.txt

del fixme.txt

type newfix.txt | find /v /i "Copyright" > fixme.txt

del newfix.txt

type fixme.txt | find /v /i "Freeware" > newfix.txt

del fixme.txt

type newfix.txt > fixme.txt

del newfix.txt

echo.>>fixme.txt

echo ==========>>fixme.txt

echo.>>fixme.txt

(echo Effacement de ControlSet002\Enum\Root\LEGACY_NTLOAD

reg delete HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTLOAD /f

echo.....

echo Effacement de ControlSet002\Services\NTLOAD

reg delete HKLM\SYSTEM\ControlSet002\Services\NTLOAD /f

echo.....

echo Effacement de ControlSet003\Enum\Root\LEGACY_NTLOAD

reg delete HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD /f

echo.....

echo Effacement de ControlSet003\Services\NTLOAD

reg delete HKLM\SYSTEM\ControlSet003\Services\NTLOAD /f

echo.....

echo Effacement de CurrentControlSet\Enum\Root\LEGACY_NTLOAD

reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD /f

echo.....

echo Effacement de CurrentControlSet\Services\NTLOAD

reg delete HKLM\SYSTEM\CurrentControlSet\Services\NTLOAD /f

echo.....

echo Effacement de ControlSet002\Enum\Root\LEGACY_NTSVCMGR

reg delete HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSVCMGR /f

echo.....

echo Effacement de ControlSet002\Services\NTSVCMGR

reg delete HKLM\SYSTEM\ControlSet002\Services\NTSVCMGR /f

echo.....

echo Effacement de ControlSet003\Enum\Root\LEGACY_NTSVCMGR

reg delete HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSVCMGR /f

echo.....

echo Effacement de ControlSet003\Services\NTSVCMGR

reg delete HKLM\SYSTEM\ControlSet003\Services\NTSVCMGR /f

echo.....

echo Effacement de CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR

reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR /f

echo.....

echo Effacement de CurrentControlSet\Services\NTSVCMGR

reg delete HKLM\SYSTEM\CurrentControlSet\Services\NTSVCMGR /f

echo.....

echo Effacement de ControlSet002\Enum\Root\LEGACY_NTBOOT

reg delete HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTBOOT /f

echo.....

echo Effacement de ControlSet002\Services\NTBOOT

reg delete HKLM\SYSTEM\ControlSet002\Services\NTBOOT /f

echo.....

echo Effacement de ControlSet003\Enum\Root\LEGACY_NTBOOT

reg delete HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTBOOT /f

echo.....

echo Effacement de ControlSet003\Services\NTBOOT

reg delete HKLM\SYSTEM\ControlSet003\Services\NTBOOT /f

echo.....

echo Effacement de CurrentControlSet\Enum\Root\LEGACY_NTBOOT

reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTBOOT /f

echo.....

echo Effacement de CurrentControlSet\Services\NTBOOT

reg delete HKLM\SYSTEM\CurrentControlSet\Services\NTBOOT /f

echo.....

)>logit.txt 2>&1

type logit.txt >> fixme.txt

start fixme.txt

Sauvergarder dans le dossier Regdacl sur le Bureau comme klegacy.bat. Sauver comme:

Type: Tous les fichiers (pas comme un document texte)

Nom: klegacy.bat

 

Ouvrir le dossier Regdacl sur le Bureau, double-clic sur klegacy.bat. Une fenêtre DOS sera visible un court instant, ceci est normal.

Le Bloc-Notes ouvrira fixme.txt, poster le contenu s.v.p

 

Une fois ceci fait, lance s'il te plait une recherche avec Regsearch sur les même termes que précédemment, à savoir=>

 

NTBOOT

NTLOAD

NTSVCMGR

 

Colle le résultat de ta recherche dans ta prochaine réponse stp.

Refais un scan chez Panda et poste le rapport.

 

Allez courage!

[dave36]

on continue ds le n'importe quoi:

1-impossible de faire un scan chez panda.lien java néant!!!!

2-site internet :impossible de faire apparaitre la main, une partie du site a aussi disparue??? boursorama.fr

3-impossible de faire une restaauration:la page ne s'ouvre pas,elle reste en bleu?????

 

je te poste les rapports regsearch

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.0.1

 

; Results at 04/04/2006 16:06:26 for strings:

; 'ntboot'

; 'ntload'

; 'ntsvcmgr

ntsvcmgr'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC5DA001-7CD4-11D2-8ED9-D8C857F98FE3}\ProgID]

@="CorTransientLoader.CorLoad.1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC5DA001-7CD4-11D2-8ED9-D8C857F98FE3}\VersionIndependentProgID]

@="CorTransientLoader.CorLoad"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CorTransientLoader.CorLoad]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CorTransientLoader.CorLoad\CLSID]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CorTransientLoader.CorLoad.1]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CorTransientLoader.CorLoad.1\CLSID]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Secure Mime Handlers]

"CorTransientLoader.CorLoad.1"=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]

"DisableRemoteFontBootCache"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTBOOT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTBOOT\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTBOOT\0000]

"Service"="NTBOOT"

"DeviceDesc"="NTBOOTMGR"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTLOAD]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTLOAD\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTLOAD\0000]

"Service"="NTLOAD"

"DeviceDesc"="NTLOAD"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTBOOT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTBOOT]

"DisplayName"="NTBOOTMGR"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTBOOT\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTBOOT\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTBOOT\Enum]

"0"="Root\\LEGACY_NTBOOT\\0000"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTLOAD]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTLOAD]

; Contents of value:

; C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe /name:"NTLOAD" /start:"C:\WINDOWS\system\driver\csrss.exe"

"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,59,53,54,45,4d,5c,44,52,\

49,56,45,52,5c,6e,74,73,72,76,2e,65,78,65,20,2f,6e,61,6d,65,3a,22,4e,54,4c,\

4f,41,44,22,20,2f,73,74,61,72,74,3a,22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,\

79,73,74,65,6d,5c,64,72,69,76,65,72,5c,63,73,72,73,73,2e,65,78,65,22,00

"DisplayName"="NTLOAD"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTLOAD\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTLOAD\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTLOAD\Enum]

"0"="Root\\LEGACY_NTLOAD\\0000"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTBOOT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTBOOT\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTBOOT\0000]

"Service"="NTBOOT"

"DeviceDesc"="NTBOOTMGR"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD\0000]

"Service"="NTLOAD"

"DeviceDesc"="NTLOAD"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTBOOT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTBOOT]

"DisplayName"="NTBOOTMGR"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTBOOT\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTLOAD]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTLOAD]

; Contents of value:

; C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe /name:"NTLOAD" /start:"C:\WINDOWS\system\driver\csrss.exe"

"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,59,53,54,45,4d,5c,44,52,\

49,56,45,52,5c,6e,74,73,72,76,2e,65,78,65,20,2f,6e,61,6d,65,3a,22,4e,54,4c,\

4f,41,44,22,20,2f,73,74,61,72,74,3a,22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,\

79,73,74,65,6d,5c,64,72,69,76,65,72,5c,63,73,72,73,73,2e,65,78,65,22,00

"DisplayName"="NTLOAD"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTLOAD\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTBOOT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTBOOT\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTBOOT\0000]

"Service"="NTBOOT"

"DeviceDesc"="NTBOOTMGR"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD\0000]

"Service"="NTLOAD"

"DeviceDesc"="NTLOAD"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTBOOT]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTBOOT]

"DisplayName"="NTBOOTMGR"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTBOOT\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTBOOT\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTBOOT\Enum]

"0"="Root\\LEGACY_NTBOOT\\0000"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD]

; Contents of value:

; C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe /name:"NTLOAD" /start:"C:\WINDOWS\system\driver\csrss.exe"

"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,59,53,54,45,4d,5c,44,52,\

49,56,45,52,5c,6e,74,73,72,76,2e,65,78,65,20,2f,6e,61,6d,65,3a,22,4e,54,4c,\

4f,41,44,22,20,2f,73,74,61,72,74,3a,22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,\

79,73,74,65,6d,5c,64,72,69,76,65,72,5c,63,73,72,73,73,2e,65,78,65,22,00

"DisplayName"="NTLOAD"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD\Enum]

"0"="Root\\LEGACY_NTLOAD\\0000"

 

; End Of The Log...

----------------------------------------------------

et fixme:

 

04/04/2006 16:16:28,43

----------------------------------------------------

[dave36]

une chose encore

-impossible de virer kaspersky lab de mon ordi,il reste un fichier nommé shellx.dll qui resiste

 

merci de me dire comment le virer.

[dave36]

le pb vient du nn renvoi d'information sur internet apparemment...

peux tu m'en dire plus???

[Thanos]

salut dave36

 

Soit gentil ne relance pas un nouveau topic à chaque fois, on n'y comprends plus rien! continue la discussion ici,ca évitera à un conseiller de faire une analyse pour rien!

 

Bon dans le rapport que tu as posté ici(dans ton nouveaux sujet)=> http://forum.zebulon.fr/index.php?showtopi...=0entry710125

 

On peut voir que tu n'as pas utilisé correctement Fix_Protocol_zones_ranges.reg !!

S'il te plait, recommence l'opération:

 

1)-Télécharge ce fichier sur le bureau.

 

Extraies et double clique sur Fix_Protocol_zones_ranges.reg.

 

Accepte lorsqu'il te demande de fusionner avec le registre.

 

Fais ca et reposte un nouveau rapport hijackthis pour commencer.

 

2)- As tu bien utilisé le fichier batch que je t'ai collé dans la procédure avec RegDACL ?? pas l'impression car les clés sont encore présentes!un élément important, c'est l'extension du fichier=>

 

N'oublie pas que lorsque tu as copié /collé le texte dans un fichier texte(notepad) , tu dois modifier l'extension du fichier qui vas par défaut ,être Fichiers texte(*.txt). Tu as bien modifié comme ceci?=>

 

-Enregistrer ce fichier dans : Regdacl(le dossier que tu as créé et ou tu as dézippé le programme).

-Nom du fichier : klegacy.bat

-Type : tous les fichiers

-cliquer sur Enregistrer

 

Ensuite tu Ouvres le dossier Regdacl sur le Bureau, et tu double-cliques sur klegacy.bat

 

Pour ce qui est de ces problèmes avec internet, il doivent se rêgler une fois le fichier Fix_Protocol_zones_ranges.reg utilisé. Je pense que tu ne l'as pas utilisé comme il faut car tu m'en a fait un copier/collé un peu plus haut!suis srupuleusement la manipulation plus haut.

Si il y a une chose que tu ne comprends pas , n'hésite pas à me demander.

Tiens moi au courant des choses qui fonctionnent ou pas.

 

Je récapitule =>

-utilise Fix_Protocol_zones_ranges.reg comme indiqué plus haut et poste un nouveau rapport hijackthis.

-recommence la manipulation avec Regdacl. Le fichier que tu vas créer doit avoir l'icône d'une roue crantée , et pas celle d'un fichier texte.

 

@+ tard et pas de panique, on va y arriver!

[dave36]

alors voila le rapport mais une question:

pourquoi il ne me demande pas la fusion une fois que j'ai 2 clic sur fix protocol?

kelegacy a bien la tete d'une roue dentee.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:56:24, on 04/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\hphmon05.exe

C:\WINDOWS\system32\ps2.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Installations programmes\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Download using Download &Express - file://C:\Program Files\Download Express\Add_Url.htm

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

[Thanos]

re dave36

 

Bizarre, le fix en question (Fix_Protocol_zones_ranges.reg.) qui aurait dû éliminer les lignes 015 que tu vois ne fonctionne pas! Bon on va tenter autre chose:je te répond dans 10 mn

[Thanos]

Une question: l'icône du fichier Fix_Protocol_zones_ranges.reg que tu as sur le bureau, représente bien un cube de couleur bleu-vert? Si oui essaie de redémarrer ton pc en mode sans échec(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".Choisir le compte usuel (et non Administrateur).

 

En mode sans échec double clique à nouveau sur le fichier . Normalement un message doit te demander si tu acceptes la fusion. Il y a plus de chance en mode sans échec.(on dirait qu'il y a une gêne en mode normal!)

Essaie stp et dis moi si ca marche.

 

Edit :pour ce qui est d'éliminer les restes de Bitdefender, Avast, Norton, Kaspersky, ne t'inquiêtes pas!ce n'est pas une priorité! pour le moment il va falloir faire fonctionner ces fichiers reg!

Dis moi quand tu vas dans Démarrer/ Exécuter,et que tu tapes regedit dans le champs, est ce que le registre s'ouvre?

Passe cet outil si tu veux bien pour nous assurer qu'un rootkit n'est pas présent=>

 

1)-Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau .

 

Double-clique sur blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Modifié le 4 avril 2006 par charles ingals

[dave36]

l'icone ss le bureau n'est pas bleu vert c'est un fichier bloc note,pourtant j'ai bien fait la manip demandee.

a plus..

[Thanos]

salut dave36

 

Kimberley a mis le doigt sur le problème qui empêche les modifications dans la base de registre (merci à elle )

La présence de L2M dont on voit une trace dans le rapport fait avec Ewido en est la raison.(il n'a pas totalement disparu et a modifié le registre).

Fais ceci et oublie pour l'instant le passage de Blacklight=>

 

 

Télécharge L2mfix (de Shadowwar) de l'un de ces liens :

http://www.atribune.org/downloads/l2mfix.exe

http://www.downloads.subratam.org/l2mfix.exe

 

 

Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau

 

Ferme toutes les applications en cours, car cette étape nécessite un redémarrage.

 

Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également.

 

IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !!

**Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix".

 

l'icone ss le bureau n'est pas bleu vert c'est un fichier bloc note,pourtant j'ai bien fait la manip demandee

D'accord, comme je te disait un fichier à l'extension reg possède une incône qui représente un cube de couleur

bleu-vert.C'est très simple!Il suffit d'ouvrir le fichier texte et puis de faire ceci:

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis"Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant: Fix_Protocol_zones_ranges.reg

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes.

 

A présent l'icône doit avoir changé!

 

Je récapitule:

 

-Lance L2Mfix et utilise l'option2 : poste le rapport de L2Mfix.

 

-Refais les manipulations sur le fichier "Fix_Protocol_zones_ranges.reg".

 

-Repostes un nouveau rapport hijackthis pour voir si ca a fonctionné.

 

Voilà! allez courage, on a y arriver