Assiste.Forums

[cloud]

Bonjour , voici le rapport demandé:


Édité
Suite de: http://assiste.forum.free.fr/viewtopic.php?t=10621


Logfile of HijackThis v1.99.1
Scan saved at 10:16:14, on 10/02/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\INTEL\PSNCU INTEL\CPUNUMBER.EXE
C:\PROGRAM FILES\SOFTWIN\BDHOME\LMGUI.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIAJCKTHIS\HIJACKTHIS VERSION FRANçAISE\VERSION TRADUITE ORIGINALE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: LostGoggles plug-in (web site preview snapshots - www.lostgoggles.com) - {6291957C-8CE9-4c90-BEFF-12D9E68CFF30} - C:\PROGRAM FILES\LOSTGOGGLES\LGOGGLES.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE
O4 - HKLM\..\Run: [AVX Communicator] C:\WINDOWS\SYSTEM\XCOMMSVR.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [AvxIni] c:\program files\softwin\bdhome\avxinit.exe
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [IntelProcNumUtility] "C:\Intel\PSNCU Intel\CPUNumber.exe" /nosplash
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Murphy Shield.lnk = C:\Program Files\SOFTWIN\BDHome\lmgui.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.fr
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab

[cloud]

Bonjour, personne ne peut m'aider ?

[nickW]

Bonjour,

Comme Pierre avait répondu à ton premier message, et comme je n'aime pas du tout que plusieurs personnes interviennent sur la même analyse, je n'ai pas suivi ta demande.
Pierre étant largement occupé (après 8 mois d'absence), je me permets de te demander d'effectuer la manip suivante:

Recherches dans le Registre
Aller sur http://www.billsway.com/vbspage/ et descendre jusqu'à Registry Search Tool
Télécharger RegSrch.zip, le décompresser dans un dossier qui lui est réservé (par exemple C:\Program Files\RegSrch).

Lancer RegSrch.vbs en faisant un clic droit dessus et en choisissant "Ouvrir avec l'invite de commandes".
S'il y a une alerte en provenance de l'antivirus, accepter l'exécution de la totalité du script une seule fois.

Taper sbsoft dans la zone Enter search string... puis cliquer sur OK.

Laisser le script tourner (jusqu'à 5 minutes); Une petite fenêtre annonce le nombre d'occurrences trouvées.
Cliquer sur OK pour copier le résultat dans Wordpad.
Important: Enregistrer ce fichier (Fichier ---> Enregistrer sous sbsoft1.txt).

Refaire la même opération en tapant {08bec6aa-49fc-4379-3587-4b21e286c19e} dans la zone Enter search string
Important: Enregistrer ce fichier (Fichier ---> Enregistrer sous sbsoft2.txt).

Copier le contenu de ces deux fichiers sbsoft1.txt et sbsoft2.txt en réponse.

A bientôt,

[cloud]

Bonjour , merci de ton aide.
Voici les2 rapports demandés:

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 19/02/06 09:35:26 for strings:
; 'sbsoft'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 19/02/06 09:42:22 for strings:
; '{08bec6aa-49fc-4379-3587-4b21e286c19e}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=hex:aa,c6,be,08,fc,49,79,43,35,87,4b,\

; End Of The Log...

[nickW]

Bonsoir,

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: Création du fichier tuer-sbsoft.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans un éditeur de texte (Bloc-notes, Notepad, Wordpad par exemple) et enregistrer le fichier sous le nom de tuer-sbsoft.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .reg.txt, renommer le fichier en .reg

Code: Tout sélectionner

REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-




Étape 2: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 3: Utilisation du fichier tuer-sbsoft.reg
Faire un clic droit sur tuer-sbsoft.reg, dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.


Étape 4: Redémarrage
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis

Indiquer aussi
*- s'il y a eu un message lors de l'étape 3 et quelle en était la teneur,
*- si sbsoft est toujours détecté.

A suivre,

[cloud]

Bonjour nickW.
que veut dire "ouvrir une session avec les droits administrateur ?
J'ai bien copier/coller et enregistré le fichier sous tuer-sbsoft.reg avec wordpad , puis enregistré dans mes documents.
Mais que veut dire " choisir tous les fichiers dans la liste déroulantes.....?

[nickW]

Bonsoir,

Oups
Droits Administrateur---->ceci est valable pour XP.
Un copier-coller trop rapide.
Donc tu démarres normalement.

La liste déroulante existe dans Notepad (le Bloc-notes), mais apparemment pas dans Wordpad.
L'important est que l'extension du fichier soit .reg et non .reg.txt

Salut,

[cloud]

Bonjour , à mon avis je n'ai pas fait correctement la procédure. Lorsque je veux fusionner en mode sans echec , un message dit :
impossible d'importer le fichier n'est pas un script du registre.

[nickW]

Bonjour,

Peux-tu copier en réponse le contenu de ton fichier tuer-sbsoft.reg

A suivre,

[cloud]

Bonjour , impossible , une boite de dialogue " editeur du registre " s'ouvre avec ce message:

impossible d'importer C:\MESDOC 1\TUER-S 2.REG: le fichier spécifié n'est pas un script du Registre.
Vous ne pouvez importer que des fichiers du Registre.