Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

malware

edmon

Par edmon
dans Analyses et éradication malwares

 Partager

Messages recommandés

Invité Laurent_62

Invité Laurent_62

Posté(e)
Posté(e) (modifié)

Voila qui expliquerait pourquoi le fait de fixer les différentes lignes n'a eu aucun effet

 

C'est étrange cette infection par lop certainement des traces restantes bref

 

*** Télécharge Lopremover http://clairvoyant.p2pforum.it/tools/lopremover.zip

 

Décompresse le sur le bureau

 

 

*** Télécharge ce fichier (clique droit et choisis enregistrer sous)

http://securityresponse.symantec.com/avcenter/UnHookExec.inf

 

Enregistre le sur le bureau.

 

 

 

*** Redémarre en mode sans echec

 

 

*** fais un clique droit sur ce fichier UnHookExec.inf puis choisis installer

 

 

*** Lance lopremover.exe

 

Entre les chiffres apparaissant dans la fenètre du haut dans la petite du bas puis clique sur le bouton Uninstall

 

Valide les différents messages le cas échéant (fermer toutes les fenetres ) ou encore forcer la desinstallation)

 

 

 

*** Relance hijackthis "Do a system scan only" et coche les lignes

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

 

Clique sur fix checked

 

 

 

*** Recherche et supprime ces fichiers

 

c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf

C:\WINDOWS\ALCXMNTR.EXE

 

*** Recherche et supprime ces dossiers

 

C:\Documents and Settings\HP_Propriétaire\Application Data\Proc Cool

C:\Documents and Settings\HP_Propriétaire\Bureau\SmitfraudFix >>> C'est un faux positif mais de toute façon nous en avons plus l'utilité

 

 

*** Lance ATF-Cleaner :

 

Coche ceci :

* Windows Temp

* Current User Temp

* All Users Temp

* Cookies

* Temporary Internet Files

* Prefetch

* Java Cache

* Recycle Bin

 

*** Redémarre en mode normal

 

 

 

Refais un scan sur Kapersky ainsi qu'un nouveau log hijackthis pour contrôle

Modifié par Laurent_62

edmon Member

edmon

Posté(e)
  • Auteur
Posté(e)

Voila qui expliquerait pourquoi le fait de fixer les différentes lignes n'a eu aucun effet

 

C'est étrange cette infection par lop certainement des traces restantes bref

 

*** Télécharge Lopremover http://clairvoyant.p2pforum.it/tools/lopremover.zip

 

Décompresse le sur le bureau

*** Télécharge ce fichier (clique droit et choisis enregistrer sous)

http://securityresponse.symantec.com/avcenter/UnHookExec.inf

 

Enregistre le sur le bureau.

*** Redémarre en mode sans echec

*** fais un clique droit sur ce fichier UnHookExec.inf puis choisis installer

*** Lance lopremover.exe

 

Entre les chiffres apparaissant dans la fenètre du haut dans la petite du bas puis clique sur le bouton Uninstall

 

Valide les différents messages le cas échéant (fermer toutes les fenetres ) ou encore forcer la desinstallation)

*** Relance hijackthis "Do a system scan only" et coche les lignes

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

 

Clique sur fix checked

*** Recherche et supprime ces fichiers

 

c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf

C:\WINDOWS\ALCXMNTR.EXE

 

*** Recherche et supprime ces dossiers

 

C:\Documents and Settings\HP_Propriétaire\Application Data\Proc Cool

C:\Documents and Settings\HP_Propriétaire\Bureau\SmitfraudFix >>> C'est un faux positif mais de toute façon nous en avons plus l'utilité

*** Lance ATF-Cleaner :

 

Coche ceci :

* Windows Temp

* Current User Temp

* All Users Temp

* Cookies

* Temporary Internet Files

* Prefetch

* Java Cache

* Recycle Bin

 

*** Redémarre en mode normal

Refais un scan sur Kapersky ainsi qu'un nouveau log hijackthis pour contrôle

 

je crois que ce n'est pas clean encore

 

rapport Kaspersky

 

Monday, May 22, 2006 11:01:11 AM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.78.0

Kaspersky Anti-Virus database last update: 22/05/2006

Kaspersky Anti-Virus database records: 183732

 

 

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

 

Scan Target My Computer

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

 

Scan Statistics

Total number of scanned objects 127929

Number of viruses found 1

Number of infected objects 6

Number of suspicious objects 0

Duration of the scan process 01:37:09

 

Infected Object Name Virus Name Last Action

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP74\A0008728.0xe/stream/data0006 Infected: Trojan-Downloader.Win32.Zlob.nf skipped

 

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP74\A0008728.0xe/stream/data0007 Infected: Trojan-Downloader.Win32.Zlob.nf skipped

 

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP74\A0008728.0xe/stream Infected: Trojan-Downloader.Win32.Zlob.nf skipped

 

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP74\A0008728.0xe NSIS: infected - 3 skipped

 

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP74\A0008728.0xe UPX: infected - 3 skipped

 

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP74\A0008728.0xe PE_Patch.UPX: infected - 3 skipped

 

Scan process completed.

 

 

rapport Hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 11:16:23, on 22/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\hphmon06.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe

C:\Program Files\InterVideo\Common\Bin\WinRemote.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Spyware\Ad-Monitor.exe

C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Securitoo\av_fw\backweb\8520111\Program\fspex.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE

C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe

C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE

C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe

C:\Program Files\Securitoo\av_fw\FSGUI\fsguiexe.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\PROGRA~1\SECURI~1\av_fw\ANTI-V~1\fsav.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\Ad-Monitor.exe"

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...AdSignerADP.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

 

merci

 

bonne journée

 

edmond

Invité Laurent_62

Invité Laurent_62

Posté(e)
Posté(e)

Bonjour demon,

 

Rassure toi le résultat du scan Kapersky est du point de vue systeme, propre ne reste que la restauration systeme (les points de restauration ) à nettoyer ce qui est tres bon signe.

 

Pour ce faire

 

Panneaux de conficguration > doubleclique sur "systeme" > onglet restauration du système > coche la case "désactiver la surveillance pour tous les lecteurs"

 

Redémarre

 

Maintenant je ne comprend pas pourquoi tu ne parviens pas à fixer les lignes avec hijackthis. Bien que les lignes y apparaissant ne soient pas infectieuse au sens virale car il sagit en fait d'un logiciel installé avec les pilotes realtek fournissant des informations à cette même enseigne dans un but d'amélioration de ces produits (parait il)

j'aurais tout de même été très satisfait de ne plus le voir.

 

On peut toutefois contourner ca

 

Télécharge Unlocker http://ccollomb.free.fr/unlocker/unlocker1.8.3.exe

Installe le

 

Recherche et supprime le fichier C:\WINDOWS\ALCXMNTR.EXE en faisant un clique droit dessus > Unlocker >

Si ce fichier est utilisé par un ou plusieurs processus, ces deniers seront affichés, dans ce cas cliquez sur Débloquer tout et à Actions choisir Effacer

 

En cas de besoin la procédure est expliquée ici http://www.cfasi.net/index.php/2006/05/21/4-unlocker

 

- lance regseeker.exe

nettoyage de la base de registre ok pour lancer le scan, une fois fini clique sur selectionner tout et choisis selectionner les elements verts , clique droit sur la selection et choisis supprimer les entrees

 

 

Cette méthode permettra de procéder par ordre inverse en supprimant le fichier puis le nettoyage avec Regseeker devrait permettre de supprimer cette clé de registre devenue inutile.

 

Repost ensuite juste un dernier log hijackthis pour controle

pas besoin de scan Kapersky car il ne montre aucune infection active.

edmon Member

edmon

Posté(e)
  • Auteur
Posté(e)

Bonjour demon,

 

Rassure toi le résultat du scan Kapersky est du point de vue systeme, propre ne reste que la restauration systeme (les points de restauration ) à nettoyer ce qui est tres bon signe.

 

Pour ce faire

 

Panneaux de conficguration > doubleclique sur "systeme" > onglet restauration du système > coche la case "désactiver la surveillance pour tous les lecteurs"

 

Redémarre

 

Maintenant je ne comprend pas pourquoi tu ne parviens pas à fixer les lignes avec hijackthis. Bien que les lignes y apparaissant ne soient pas infectieuse au sens virale car il sagit en fait d'un logiciel installé avec les pilotes realtek fournissant des informations à cette même enseigne dans un but d'amélioration de ces produits (parait il)

j'aurais tout de même été très satisfait de ne plus le voir.

 

On peut toutefois contourner ca

 

Télécharge Unlocker http://ccollomb.free.fr/unlocker/unlocker1.8.3.exe

Installe le

 

Recherche et supprime le fichier C:\WINDOWS\ALCXMNTR.EXE en faisant un clique droit dessus > Unlocker >

Si ce fichier est utilisé par un ou plusieurs processus, ces deniers seront affichés, dans ce cas cliquez sur Débloquer tout et à Actions choisir Effacer

 

En cas de besoin la procédure est expliquée ici http://www.cfasi.net/index.php/2006/05/21/4-unlocker

 

- lance regseeker.exe

nettoyage de la base de registre ok pour lancer le scan, une fois fini clique sur selectionner tout et choisis selectionner les elements verts , clique droit sur la selection et choisis supprimer les entrees

Cette méthode permettra de procéder par ordre inverse en supprimant le fichier puis le nettoyage avec Regseeker devrait permettre de supprimer cette clé de registre devenue inutile.

 

Repost ensuite juste un dernier log hijackthis pour controle

pas besoin de scan Kapersky car il ne montre aucune infection active.

 

j'ai besoin de plus d'explications

 

1-j'ai nettoyé les points de restauration.

après redémarrage doit on réactiver la surveillance, c est à dire décocher la case

 

2- j'ai télécharger unlocker

mais je ne trouve pas C:\WINDOWS\ALCXMNTR.EXE , disparu....

 

3- pour regseeker.exe , je n'ose pas aller plus loin

le scan c'est find in registry?

 

ensuite j'ai une fenêtre search for , vide

un bouton vert : clear search history

des cases cochés vert HKEY_classes_root

HKEY_CURRENT_USER

HKEY_LOCAL_MACHINE

HKEY_USERS (non coché)

HKEY_CURRENT_CONFIG(non coché)

search options: Keys - values et data (cochés)

match whole word (non coché)

 

puis en dessous backup before selection(coché)

select All - unselect all -Invert selection

 

si tu peux me donner plus d'éléments sur cette manip j'ai peur de me tromper

 

merci

Invité Laurent_62

Invité Laurent_62

Posté(e)
Posté(e)

Pour Regseeker tu as la possibilité de le mettre en Français dans la catégorie "language > cliquer sur le drapeau adequat

 

ensuite pour le nettoyage tout est expliqué ici http://www.zebulon.fr/articles/regseeker-2.php

 

Concernant le fichier à supprimer as tu suivi cette procédure afin d'afficher

 

- Autorise l'affichage des fichiers et dossiers cachés

 

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage

- Coche Afficher les Fichiers et dossiers cachés

- Décoche Masquer les fichiers protégés du système d'exploitation

- Décoche Masquer les extensions dont le type est connu

- clique sur Appliquer et Ok pour valider les changements

edmon Member

edmon

Posté(e)
  • Auteur
Posté(e)

Pour Regseeker tu as la possibilité de le mettre en Français dans la catégorie "language > cliquer sur le drapeau adequat

 

ensuite pour le nettoyage tout est expliqué ici http://www.zebulon.fr/articles/regseeker-2.php

 

Concernant le fichier à supprimer as tu suivi cette procédure afin d'afficher

 

Bonjour,

j'ai respecté les consignes

nettoyage de la base de registre

suppression de ALCXMNTR.EXE

malgré cela dans le rapport Hijackthis ce fichier apparait encore ?

 

Logfile of HijackThis v1.99.1

Scan saved at 10:06:52, on 23/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\hphmon06.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe

C:\Program Files\InterVideo\Common\Bin\WinRemote.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Spyware\Ad-Monitor.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Securitoo\av_fw\backweb\8520111\Program\fspex.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE

C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe

C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe

C:\Program Files\Securitoo\av_fw\FSGUI\fsguiexe.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\Ad-Monitor.exe"

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...AdSignerADP.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

 

 

Bonne journée

 

edmond

Invité Laurent_62

Invité Laurent_62

Posté(e)
Posté(e) (modifié)

Trés étrange tout ca

 

On va procéder autrement

 

Télécharge Killbox http://www.bleepingcomputer.com/files/spyware/KillBox.zip

 

décompresse le dans c:\killbox

 

Suis les indications ici http://www.cfasi.net/index.php/2006/05/21/3-killbox

en mettant dans la fenetre "full patch to delete"

C:\WINDOWS\ALCXMNTR.EXE

 

redémarre

 

relance ensuite regseeker qui devrait supprimer cette entrée de la base des registres

Modifié par Laurent_62
edmon Member

edmon

Posté(e)
  • Auteur
Posté(e)

Trés étrange tout ca

 

On va procéder autrement

 

Télécharge Killbox http://www.bleepingcomputer.com/files/spyware/KillBox.zip

 

décompresse le dans c:\killbox

 

Suis les indications ici http://www.cfasi.net/index.php/2006/05/21/3-killbox

en mettant dans la fenetre "full patch to delete"

C:\WINDOWS\ALCXMNTR.EXE

 

redémarre

 

relance ensuite regseeker qui devrait supprimer cette entrée de la base des registres

 

Bonsoir,

 

j'ai executé cette manip avec Killbox

puis regseeker après

 

néanmoins ALCXMNTR.EXE apparaît toujours dans lees log Hitjackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 00:29:02, on 24/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Securitoo\av_fw\backweb\8520111\Program\fspex.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE

C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE

C:\WINDOWS\system32\hphmon06.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe

C:\Program Files\InterVideo\Common\Bin\WinRemote.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE

C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe

C:\Program Files\Securitoo\av_fw\Anti-Spyware\Ad-Monitor.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Securitoo\av_fw\FSGUI\fsguiexe.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\Ad-Monitor.exe"

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...AdSignerADP.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

 

A+

edmon

Invité Laurent_62

Invité Laurent_62

Posté(e)
Posté(e)

Bonjour edmon,

 

Bon ben je crois qu'ilva rester là où il est.

Ce fichier ne pose généralement aucune résistence mais bon si en le cherchant manuellement tu ne le trouve pas c'est probablement in souci de lecture par hijackthis.

 

Hormis cela as tu encore quelconque souci d'alerte ou autre.

 

Au besoin refais un scan complet du systeme avec ton antivirus.

 

Si il ne trouve rien il sera alors envisageable de remettre la restauration systeme.

Supprime aussi Smitfraudfix car cet outil etant mis a jour tres régulierement il n'y a aucune raison de le garder qui plus est il n'est à utiliser que dans certain cas tres precis d'infection.

 

Bonne journée

edmon Member

edmon

Posté(e)
  • Auteur
Posté(e)

Bonjour edmon,

 

Bon ben je crois qu'ilva rester là où il est.

Ce fichier ne pose généralement aucune résistence mais bon si en le cherchant manuellement tu ne le trouve pas c'est probablement in souci de lecture par hijackthis.

 

Hormis cela as tu encore quelconque souci d'alerte ou autre.

 

Au besoin refais un scan complet du systeme avec ton antivirus.

 

Si il ne trouve rien il sera alors envisageable de remettre la restauration systeme.

Supprime aussi Smitfraudfix car cet outil etant mis a jour tres régulierement il n'y a aucune raison de le garder qui plus est il n'est à utiliser que dans certain cas tres precis d'infection.

 

Bonne journée

 

Bonjour,

 

je n'ai plus de problèmes, ni d'alertes virus

je te remercie pour ta patience et tes compétences, pour m'aider à cleaner mon PC.

Ce site que m'a conseillé un ami, est effectivement super, à la longue je pense qu'on apprend même à maîtriser les "VIRUS".

juste une petite question, mon firewall antivirus c'est "securitoo" avec une surveillance Ad Monitor mis à jour régulièrement. Ce n'est peut être pas ce qui se fait de mieux? Aurais tu un conseil à me donner dans ce domaine préventif?

 

Encore une fois MERCI

 

A bientôt

 

Edmon

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...