[résolu] Infection virus [résolu]

regis56 · le 24 juillet 2006

Bonjour bigbrowzer !

J'aimerai bien en savoir plus sur ce fichier :

C:\WINDOWS\system32\wucrtupd.dll

Assure toi d'avoir accès à tous les fichiers, certains fichiers/dossiers sont cachés!!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

Fais soumettre le fichier en gras ici =>

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

Lorsque tu cliques sur ces deux adresses, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur

Recherche le fichier en cause

Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre)

Pour le virusscan de jotti et "send" pour virustotal.

Le scan de ce fichier va débuter.

Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard!

communiquer les 2 rapports.

A plus.

bigbrowzer · le 24 juillet 2006

D'autre part lorsque je relance hijackthis il ne me trouve plus la clé qui semble poser probleme .......wucrtupd.dll

Merci encore pour ta patience

bigbrowzer · le 24 juillet 2006

Heu ....

Je ne trouve pas le fichier dans C:\WINDOWS\system32\

J'ai pourtant les bonnes options d'affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

a+

regis56 · le 24 juillet 2006

Re

As tu essayé de faire une recherhce sur ce fichier comme ceci

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Rechercher surement dans C:\WINDOWS\System32\ ou C:\WINDOWS\System\ et supprimer le(s) fichier(s) en gras suivant(s) si présent(s):

C:\WINDOWS\system32\wucrtupd.dll

Peut étre que le fichier n'existe plus mais il faut en étre sur...

Sinon tu en était rendu ou dans la procédure ?

Peut tu mettre les rapports demandé à la fin ?

A plus.

bigbrowzer · le 25 juillet 2006

Bonjour régis

Bon j'ai repris la procédure :

Tout d'abord j'ai réussi a installer Easy Cleaner, je l'ai lancé mais par contre il n'a pas réussi à effacer ces 3 fichiers :

Ensuite le rapport Ewido :

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 13:21:35 25/07/2006

+ Scan result:

:mozilla.108:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.72:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.

:mozilla.73:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.

:mozilla.38:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned.

:mozilla.50:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.

:mozilla.127:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Estat : Cleaned.

:mozilla.100:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.101:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.102:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.103:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.104:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.105:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.106:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.87:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.88:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.89:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.90:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.99:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.58:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned.

:mozilla.53:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.54:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.55:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

C:\Documents and Settings\dlg\Cookies\dlg@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.32:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.33:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.51:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

C:\Documents and Settings\dlg\Cookies\dlg@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.45:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.

:mozilla.46:C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.

::Report end

-------------------------------------------------------------------------------------------------------------------

Le rapport hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 13:28:46, on 25/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe

C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe

C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe

C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe

C:\Program Files\Sophos\AutoUpdate\ALsvc.exe

C:\Program Files\Sophos\Remote Management System\RouterNT.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Sophos\AutoUpdate\ALMon.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"

O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"

O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN

O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"

O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1149083208172

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8C681FD-D629-4CCE-90CD-89493F1F2799} (MovexWorkplaceExtension Object) - http://192.168.233.201/mwp/ieui/IEMod.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nantes.local

O17 - HKLM\Software\..\Telephony: DomainName = nantes.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nantes.local

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)

O23 - Service: StreamServe Reporter (Reporter) - Unknown owner - C:\Program Files\StreamServe\4.1.2\Reporter\bin\bootloader.exe

O23 - Service: StreamServe Repository Server (Repository Server) - POET Software - C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe

O23 - Service: Créateur de rapports d'état Sophos Anti-Virus (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe

O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe

O23 - Service: ServiceBroker - StreamServe, Inc. - C:\Program Files\StreamServe\4.1.2\Server\ServiceBroker.exe

O23 - Service: Sophos Agent - Unknown owner - C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe" -service -name Agent (file missing)

O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe

O23 - Service: Sophos Message Router - Unknown owner - C:\Program Files\Sophos\Remote Management System\RouterNT.exe" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194 (file missing)

O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)

O23 - Service: StreamServe MOM_FORM_GPLG (StreamServe1) - StreamServe, Inc. - C:\Program Files\StreamServe\4.1.2\Server\strsvc.exe

Concernant le rapport, il y a les lignes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

qui ont réapparues.... (???)

Je fait un scan en ligne avec panda et je poste le rapport de suite

a+

bigbrowzer · le 25 juillet 2006

Rapport Panda :

Incident Statut Analyse

Hacktool:rootkit/zaqt.a No Désinfecté hkey_local_machine\system\currentcontrolset\services\DP1112

Adware:adware/ncase No Désinfecté Registre Windows

Adware:adware/cws No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\devlp1\Cookies\devlp1@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt[.xiti.com/]

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt[fe.lea.lycos.fr/]

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\dlg\Application Data\Mozilla\Firefox\Profiles\r18rx27o.default\cookies.txt[.advertising.com/]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\dlg\Cookies\dlg@weborama[2].txt

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\dlg\Mes documents\Projet\archives\SmitfraudFix.zip[smitfraudFix/Process.exe]

Outil indésirable:Application/Processor No Désinfecté C:\unzipped\SmitfraudFix\SmitfraudFix\Process.exe

Sinon il y a une question qui me travaille :

c quoi la nature du probleme ??

On dirait qu'il y a une faille sur mon PC qui permet à toutes ces m de venir s'installer....

Merci encore

regis56 · le 25 juillet 2006

Bonsoir bigbrowzer !

Voici ce que tu vas devoir faire STP

-Télécharger cwshredder

http://www.intermute.com/products/cwshredder.html

Lancer cwshredder et cliquer sur fix

On va créer un outil pour modifier la base de registre pour éliminer les traces d'infections !

1/Faire une sauvegarde du registre

Cliquer sur démarrer/executer

Taper ou copier/coller :

regedit /e Sav.reg

Cliquer sur Ok

Le fichier de sauvegarde se trouve ici

C:\Documents and Settings\Le nom de ta session\Sav.reg

2/ Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

REGEDIT4

[-hkey_local_machine\system\currentcontrolset\services\DP1112]

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

Sur le bureau tu dois avoir ce remove.

Télécharge le fix de symantec sur ton bureau ne le lance pas maintenant.

http://securityresponse.symantec.com/avcenter/Fix180Sh.exe

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

- Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.

- Elimine le fichier reg.

-Lance le fix de symantec :

Clique sur Fix180Sh.exe et laisse le faire son boulot.

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

O16 - DPF: {B8C681FD-D629-4CCE-90CD-89493F1F2799} (MovexWorkplaceExtension Object) - http://192.168.233.201/mwp/ieui/IEMod.cab

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Indiquer si le Pc présente encore des dysfonctionnements

Après avoir posté ta réponse :

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

A plus et bon courage !

bigbrowzer · le 26 juillet 2006

Bonjour régis

Merci encore pour ta patience

cwshredder, Fix180Sh.exe n'ont rien trouvé d'anormal

Pour hijackthis :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

Ces 2 lignes ne figurent pas dans le scan en mode sans echec sous la session administrateur

O16 - DPF: {B8C681FD-D629-4CCE-90CD-89493F1F2799} (MovexWorkplaceExtension Object) - http://192.168.233.201/mwp/ieui/IEMod.cab

Cette ligne est sans doute réapparue parcequ'elle correspond sans doute à un controle activeX dont j'ai besoin pour un outil que j'utilise au quotidien. (Que j'ai retélécharger après la 1ere suppression)

concernant easy cleaner, j'ai toujours des lignes qu'il ne veut pas supprimer :

les trois lignes indiquées plus haut plus une autre :

C:\Documents and Settings\Administrateur\Local Settings\Temp\Perflib_Perfdata_54c.dat

Enfin le log hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 13:26:16, on 26/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe

C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe

C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe

C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe

C:\Program Files\Sophos\AutoUpdate\ALsvc.exe

C:\Program Files\Sophos\Remote Management System\RouterNT.exe

C:\WINDOWS\Explorer.EXE