[OK] demande d'analyse SVP

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] demande d'analyse SVP

Messagede piou » 29 Juin 2005, 12:08

Salut,

Qui peut m'aider svp:

Logfile of HijackThis v1.99.1
Scan saved at 13:06:53, on 29/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\piou\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\kjyjc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\kjyjc.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/ ... xiaIIA.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{313D7377-A112-43E1-A45D-01D498835DE5}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{850CAE2E-7362-4FFC-943A-9CCEAAC0CB5F}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E42722-EA8C-436F-8FF7-0B1BF57FF9F1}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{E11178EE-71BE-4BDB-9452-B590B3840F13}: NameServer = 69.50.176.196,195.225.176.110
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

MERCI
piou
piou
 

Messagede nickW » 29 Juin 2005, 13:56

Analyse en cours.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 29 Juin 2005, 14:34

Bonjour,

Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\HJT), d'y décompresser l'archive HijackThis.zip (ou HijackThis.exe s'il s'agit d'une archive auto-extractible), puis d'utiliser le fichier HijackThis.exe ainsi créé dans C:\HJT.
Si tu le laisses tel qu'il est actuellement, dans un dossier temporaire, tout sera effacé dès l'instant où tu "feras le ménage" dans ces fichiers temporaires (donc plus aucune possibilité de faire "marche arrière").


Etape 1:
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Etape 2:
Désenregistrer une DLL, puis la renommer:

Démarrer--->Exécuter--->taper
regsvr32.exe -u C:\WINDOWS\System32\kjyjc.dll
puis cliquer sur OK
Renommer le fichier C:\WINDOWS\System32\kjyjc.dll en kjyjc.dll_


Etape 3:
Tu dois corriger (to "fix" en anglais) au moyen d'Hijackthis (cocher la case devant l'élément puis cliquer sur Fix Checked) [Voir la Note importante: ci-dessous]:
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\kjyjc.dll--->AdWare.ToolBar.SBSoft.h
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\kjyjc.dll--->AdWare.ToolBar.SBSoft.h
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE--->Pas vraiment "méchant", mais espiogiciel quand même, par Realtek
O17 - HKLM\System\CCS\Services\Tcpip\..\{850CAE2E-7362-4FFC-943A-9CCEAAC0CB5F}: NameServer = 69.50.176.196,195.225.176.110--->Ajouté par Trojan.Flush.A
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E42722-EA8C-436F-8FF7-0B1BF57FF9F1}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{E11178EE-71BE-4BDB-9452-B590B3840F13}: NameServer = 69.50.176.196,195.225.176.110

Note importante sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- en mode sans échec (voir ICI).
-**- Ici doit se placer l'utilisation de HijackThis
-**- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...).
-**- toujours en mode sans échec, vider la corbeille, le cache d'IE et les fichiers temporaires.

Puis redémarrer l'ordinateur en mode normal.



Etape 4: Modifier deux clés du registre.
Note très importante:
Faire très attention en utilisant regedit.
Toutes les saisies sont enregistrées en direct, sans possibilité d'annuler ni de revenir en arrière.
Une fausse manip pourrait bloquer la machine complètement.


Taper Démarrer--->Exécuter--->regedit [OK]

Descendre dans le panneau de gauche jusqu'à la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters
(on "déplie" chaque clé en cliquant sur le petit + qui la précède)

Sauvegarder cette clé (on ne sait jamais...)
Surligner la clé dans le panneau de gauche
Fichier--->Exporter
Choisir un emplacement, puis un nom de fichier explicite (exemple: HKLM-adapters-050629), et cliquer sur Enregistrer

Dans le panneau de droite, supprimer la valeur:
"NameServer" = "69.50.176.196,195.225.176.37"

Descendre dans le panneau de gauche jusqu'à la clé:
HKEY_CURRENT_USER\RemoteAccess\Profile
(on "déplie" chaque clé en cliquant sur le petit + qui la précède)

Sauvegarder cette clé (on ne sait jamais...)
Surligner la clé dans le panneau de gauche
Fichier--->Exporter
Choisir un emplacement, puis un nom de fichier explicite (exemple: HKCU-profile-050629), et cliquer sur Enregistrer

Dans le panneau de droite, supprimer la valeur:
"IP" = "02,00,00,00,00,00,00,00,c4,b0,32,45,25,b0,e1,c3,00,00,00,00,00,00,00,00,00,00,00,00"


Etape 5: Rechercher et modifier un fichier.
Lancer une recherche sur la totalité des disques du fichier rasphone.pbk
S'il est trouvé, l'ouvrir dans Notepad ("Bloc-notes" de Windows) ou dans n'importe quel éditeur de texte.
Supprimer les 3 lignes:
"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"

Refaire un "log HiJackThis" et le poster à la suite de ce message (pas de nouveau sujet) en précisant si le problème est toujours là.
Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

A suivre (car il reste des programmes "superflus au démarrage" à supprimer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede piou » 29 Juin 2005, 15:39

Salut,

il veut pas faire l'étape 2! il dit qu'il trouve pas regsvr32.exe....
piou
 

Messagede piou » 29 Juin 2005, 15:41

ça a été mais il me dit que ça a échoué...
piou
 

Messagede piou » 29 Juin 2005, 15:44

j'ai réessayé, voila ce qu'il me dit:

"DllUnregister server dans C:\WINDOWS\System32\kjyjc.dll a échoué.
Le code renvoyé était: 0x80070005"

voila
piou
 

Messagede nickW » 29 Juin 2005, 16:46

Re-bonjour,

Continue la suite des étapes, et renvoie un nouveau log HijackThis.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede piou » 30 Juin 2005, 12:23

Salut nickW,

voilà, j'ai fait ce que tu m'as dis. Quelques petits soucis:

1- comme je te l'ai déjà dis, pas possible de faire l'étape 2

2- étape 3 (en mode sans échec), pas de:
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\kjyjc.dll--->AdWare.ToolBar.SBSoft.h
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\kjyjc.dll--->AdWare.ToolBar.SBSoft.h

(en fait les C: je les trouves jamais pour les fixer)

3- étape4: j'ai bien été dans Regedit et trouvé les clés mais pas les deux valeurs que tu me disais de supprimer

4- étape5: pas trouvé le fichier recherché

J'ai déjà réactiver la restauration système (mais je sais pas si le problème est réglé)

Je poste le log:

Logfile of HijackThis v1.99.1
Scan saved at 13:02:55, on 30/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/ ... xiaIIA.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

Voilà,
MERCI,
piou
piou
 

Messagede piou » 30 Juin 2005, 12:27

j'utilise maintenant Firefox, mais la toolbar a disparu de IE...
piou
 

Messagede nickW » 30 Juin 2005, 13:36

Bonjour,

La procédure que je t'ai donnée concerne l'infection "maximale" qu'il est possible de rencontrer.
Si tu n'as pas trouvé les clés de registre, c'est que tu n'étais pas dans ce cas d'infection "maximale".

Il y a une nouvelle ligne dans ton log qui me pose problème:
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

Quelles sont les propriétés (clic droit, choisir Propriétés, Date de création, auteur,...) du fichier
C:\WINDOWS\System32\hgqhp.exe

Si l'auteur est inconnu, la date très récente,..., il faut corriger (to fix en anglais) cette ligne avec HijackThis et renommer le fichier.

Puis tu renvoies un nouveau log (pour éliminer les "inutiles au démarrage").

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 31 invités

cron