Se connecter / S'enregistrer
Votre question

Spyware récalcitrant, à bout de solutions..... (RESOLU)

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Novembre 2005 20:37:33

Bonjour,

Cela fait plusieurs semaines que je me trimbale un ou des "trucs" que je n'arrive pas à éradiquer.

Config machine:

XP Famillial,
IE6,
NAV 2005,
et depuis peu:
RegFreeze 5.1,
Spybot 1.4,
Ad-Aware 1.06
Microsoft AntiSpyware.

Connexion bas, très bas débit....

3 Symptômes principaux:

- Ouvertures de fenêtres IE6, ad-w-a-r-e.com, searc-h.com etc....

- Ouvertures d'animations Macromedia Flash Player (pour visiter un site),

- le plus pénible - une impossibilité de surfer pendant les 5 à 10 mn de début de connexion, ni même d'ouvrir des applications. Au bout de ce temps, les applications et sites demandés s'ouvrent. Pendant ces 5 à 10mn, je ne vois pas d'infos entrer ou sortir à l'aide du visualiseur de trafic, le disque dur ne tourne pas forcément, l'occupation mémoire est correcte (quelques Kilos).

En fait c'est surtout ce dernier pb qui est le plus pénible.

Les 2 derniers inconvénients sont la barre des tâches qui, parfois, ne veut plus se masquer automatiquement, ou même se redimensionner et un message de type: "Une exception s'est produite lors de la tentative d'exécution de "C:\windows\system32\sgbrccsp.dll",GetVersion ou bien wk2help.dll etc..... à l'ouverture d'IE6 en connection.

A plusieurs reprises j'ai tenté d'éliminer cet, ces intrus avec l'aide des programmes cités plus haut, mais apparemment je ne dois pas aller assez loin car le pb n'est jamais totalement résolu. Parfois, un ou 2 des symptômes évoqués disparaissent, mais il reviennent quelques heures, jours après.

J'ai vu pas mal de posts à ce sujet, et ai tenté de suivre les conseils, mais bon, sans succés et j'avoue mon incompétence en ce domaine.

Lorsque je désinstalle macromédia flashplayer avec le petit programme de désinstallation uninstall flas player, celui-ci se réinstalle tout seul et toujours dans le même répertoire: C:\windows\system32\Macromed\flash.
De même avec la ligne Shockwave flashobject a désactiver dans IE6-options-programmes-gérer
les modules complémentaires. A chaque fois cette ligne se rétablit.

De même avec Look2me, le problème semblait avoir disparu et ben non.

En fait je pense que je manque de méthode, car j'essaie les trucs les uns après les autres alors qu'il faudrait probablement tout faire d'un pet.

Voici donc mon Hijacjthis (le dernier, j'en ai fais plusieurs), dont il semblerait que la ligne 20 change fréquemment....


Logfile of HijackThis v1.99.1
Scan saved at 22:56:53, on 11/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\cisvc.exe
U:\NORTON\Norton System Works\GoBack\GBPoll.exe
U:\NORTON\NORTON~1\NORTON~2\GHOSTS~2.EXE
u:\fichier\adobe acrobat 5.05\conversions plus 6.05\FORMATM.EXE
U:\MATERIEL\MPC400\MPSERVIC.EXE
U:\NORTON\Norton AntiVirus\navapsvc.exe
U:\NORTON\Norton System Works\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
U:\NORTON\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
U:\NORTON\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
U:\MATERIEL\MPC400\MONITR32.EXE
G:\Any DVD 1.4.4.1\AnyDVD\AnyDVD.exe
U:\NORTON\Norton System Works\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
L:\BUREAUTIQUE\Works 6\WksSb.exe
G:\Clone CD 5.0.4.5\CloneCDTray.exe
C:\Program Files\QuickTime\qttask.exe
O:\Real Player\RealPlay.exe
U:\DISQUE\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Messenger\msmsgs.exe
U:\DISQUE\Microsoft AntiSpyware\gcasDtServ.exe
U:\NORTON\Norton System Works\GoBack\GBTray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
U:\MATERIEL\Versato 1.21\Versato.exe
U:\COMPRESSION\Win Zip 8.1\WZQKPICK.EXE
L:\BUREAUTIQUE\Corel Word Perfect 7\Dad7\QUICK.EXE
L:\BUREAUTIQUE\Corel Word Perfect 7\Shared\PFit7\PFPPOP70.EXE
U:\MATERIEL\Versato 1.21\MePlayer.exe
U:\MATERIEL\Versato 1.21\OSD.EXE
U:\MATERIEL\Versato 1.21\MailChk.exe
L:\BUREAUTIQUE\Office XP\Office10\msoffice.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\cidaemon.exe
U:\NORTON\Norton System Works\CKA.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
P:\INFORMATIQUE\PROGRAMMES\Anti virus\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freetelecom.com/consom/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - U:\FICHIER\ACROBAT READER 5.0.5\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [monitr32] U:\MATERIEL\MPC400\MONITR32.EXE
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "G:\Any DVD 1.4.4.1\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] "G:\Any DVD 1.4.4.1\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] U:\NORTON\Norton System Works\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] U:\NORTON\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WorksFUD] L:\BUREAUTIQUE\Works 6\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] L:\BUREAUTIQUE\Works 6\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] L:\BUREAUTIQUE\Works 6\WkDetect.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] L:\BUREAU~1\CORELW~1\Shared\QFinder7\QFSCHED.EXE
O4 - HKLM\..\Run: [CloneCDTray] "G:\Clone CD 5.0.4.5\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MacLicense] "u:\fichier\adobe acrobat 5.05\conversions plus 6.05\MacLic.exe"
O4 - HKLM\..\Run: [RealTray] O:\Real Player\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [gcasServ] "U:\DISQUE\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DAD (gestionnaire des applications du bureau) de Corel .LNK = L:\BUREAUTIQUE\Corel Word Perfect 7\Dad7\QUICK.EXE
O4 - Startup: PerfectPrint.LNK = L:\BUREAUTIQUE\Corel Word Perfect 7\Shared\PFit7\PFPPOP70.EXE
O4 - Startup: RegFreeze.lnk = U:\DISQUE\RegFreeze 5.1\regfreeze.exe
O4 - Global Startup: GoBack.lnk = U:\NORTON\Norton System Works\GoBack\GBTray.exe
O4 - Global Startup: Microsoft Office.lnk = L:\BUREAUTIQUE\Office XP\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: Versato.lnk = U:\MATERIEL\Versato 1.21\Versato.exe
O4 - Global Startup: WinZip Quick Pick.lnk = U:\COMPRESSION\Win Zip 8.1\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk142YY...
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://L:\BUREAU~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {3B2E9991-0C57-426F-A5E4-784C7A5C6420} (Datasheet control) - http://alldatasheet.com/Datasheet.cab
O16 - DPF: {3FBAA996-55CF-47FA-A231-A94829D1E364} (alldatasheet control) - http://alldatasheet.com/alldatasheet.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) - http://www.euras.com/euras/activex2/euras.CAB
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\k226lcfs1f26.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GBPoll - Roxio, Inc. - U:\NORTON\Norton System Works\GoBack\GBPoll.exe
O23 - Service: GhostStartService - Symantec Corporation - U:\NORTON\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: MacFormatService - Unknown owner - u:\fichier\adobe acrobat 5.05\conversions plus 6.05\FORMATM.EXE" /SERVICE (file missing)
O23 - Service: MpService - Canon Inc - U:\MATERIEL\MPC400\MPSERVIC.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - U:\NORTON\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - U:\NORTON\Norton System Works\Norton Utilities\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - U:\NORTON\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - U:\NORTON\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Merci de votre aide.

Ah oui, j'oubliais, j'ai essayé Firefox: idem. En plus, je ne peux en faire mon navigateur par défaut à cause d'une erreur 623.....

Domi.

Autres pages sur : spyware recalcitrant bout solutions resolu

13 Novembre 2005 00:07:30

Salut,

Tu as une infection Look 2 Me, fais ceci :

Citation :

1/ Télécharge l2mfix.exe
Mets-le sur ton bureau.
Double-clic sur l2mfix.exe
A la 1ère question clic sur Accept, ensuite clic sur Install

2/ Ouvre le dossier l2mfix créé sur le bureau puis double-clic sur L2Mfix.bat
Ensuite choisis l'option 1 puis Entrée
Poste ce 1er rapport.

3/ Ensuite ferme tous les programmes parce qu'il va y avoir reboot automatique
Ouvre le dossier l2mfix créé sur le bureau puis double-clic sur L2Mfix.bat
Ensuite choisis l'option 2 puis Entrée
Puis appuie sur n'importe quelle touche pour redémarrer l'ordinateur
Après redémarrage, le bureau et les icônes vont apparaître puis disparaître, c'est normal ! Et un nouveau rapport va apparaître à l'écran.
>> Si après redémarrage les icônes n'apparaissent/disparaissent pas ou si le rapport n'apparaît pas, alors ouvre le dossier l2mfix et lance second.bat
Enfin poste ce 2ème rapport avec un nouveau rapport HJT.
13 Novembre 2005 10:14:19

Bonjour et merci,

Je fais ça et je rapporte.

Domi.
Contenus similaires
13 Novembre 2005 12:01:37

Au redémarrage du systeme, après option 2, le PC démarre, les icones n'apparaissent pas.
Une fenêtre est ouverte:

Killing Process!
C:\Windows\system32\cmd.exe
Le chemin est introuvable.

Une deuxième fenêtre avec le message suivant apparaît:
Impossible d'exporter backregs\OB7D3EB6......reg erreur d'ouverture de fichier. Il pourrait
y avoir une erreur de disque ou de fichier system.

Clic sur OK:

Idem avec EAFOC5A7.........reg OK
Idem avec 5A9CB65A.........reg OK

Dans la première fenêtre apparaît:
Scanning First Pass
s'ensuivent 17 fichiers *.dll suivi de Winlogoff.
Second pass completed.

La fenêtre se ferme, rien à l'écran excepté le bureau, pas d'icones,pas de menu démarrer.
Au bout du temps imparti, l'écran de veille apparaît.

Avec Ctrl Alt Sup, j'accède au gestionnaire des tâches qui me permet d'ouvrir second.bat.

La même fenêtre du début s'ouvre, et j'y vois cette fois-ci:

Killing Process
1 fichier copié.
Scanning first pass
First pass completed
Scanning second pass
Second pass completed.
Puis la fenêtre se ferme.
Toujours pas d'icones.

Je redémarre donc le PC à l'aide du gestionnaire.

Redémarrage, les icones sont OK, je ne les vois pas apparaîtrent et/ou disparaîtrent.
Dans la barre des tâches, la zone de lancement rapide a disparu.

Dès la connexion je me rends compte que le pb de fenêtres intempestives n'a pas changé.
Pour ce qui est du pb avec macromédia, je ne sais pas trop.....pour l'instant.

Voici donc le 1er rapport L2Mfix suivi du HJT dans le post suivant.

Merci encore pour ton aide.

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MediaContentIndex]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\irpsl5771.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{18DDFB0E-42C3-32AE-22BD-C90A71D6AA20}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{4B4604E0-8961-11D4-A0EC-009099164712}"="Mon MultiPASS"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{57C51AF9-DEF7-11D3-A801-00C04F163490}"="Ghost Shell Extension"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Dossiers Web"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{32020A01-506E-484D-A2A8-BE3CF17601C3}"="AlcoholShellEx"
"{051FB000-1F9A-483F-AB4A-F69D402DF75D}"=""
"{E833DCAB-8B8B-4980-88E7-195ACA067446}"=""
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}"="P‚riph‚riques Plug and Play universels"
"{68B60101-A3FD-11CE-B193-00400143068B}"="MacOpener ShellExtension Format Menu"
"{68B60201-A3FD-11CE-B193-00400143068B}"="MacOpener ShellExtension Common Property Sheet"
"{0B7D3EB6-FF10-419E-84CC-CE6989A87CED}"=""
"{EAF0C5A7-125C-42E5-887B-7C7E9AFFA588}"=""
"{5A9C865A-6615-44DF-B0C8-CDBA93C2A3CE}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{0B7D3EB6-FF10-419E-84CC-CE6989A87CED}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{0B7D3EB6-FF10-419E-84CC-CE6989A87CED}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{0B7D3EB6-FF10-419E-84CC-CE6989A87CED}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{0B7D3EB6-FF10-419E-84CC-CE6989A87CED}\InprocServer32]
@="C:\\WINDOWS\\system32\\axisynth_c.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{EAF0C5A7-125C-42E5-887B-7C7E9AFFA588}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EAF0C5A7-125C-42E5-887B-7C7E9AFFA588}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EAF0C5A7-125C-42E5-887B-7C7E9AFFA588}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EAF0C5A7-125C-42E5-887B-7C7E9AFFA588}\InprocServer32]
@="C:\\WINDOWS\\system32\\althz.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{5A9C865A-6615-44DF-B0C8-CDBA93C2A3CE}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5A9C865A-6615-44DF-B0C8-CDBA93C2A3CE}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5A9C865A-6615-44DF-B0C8-CDBA93C2A3CE}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5A9C865A-6615-44DF-B0C8-CDBA93C2A3CE}\InprocServer32]
@="C:\\WINDOWS\\system32\\VTAR2132.DLL"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
althz.dll Fri 4 Nov 2005 20:32:54 ..S.R 235 244 229,73 K
atl71.dll Sun 16 Oct 2005 13:11:20 A.... 106 496 104,00 K
axisyn~1.dll Fri 28 Oct 2005 21:43:12 ..S.R 234 443 228,95 K
axivtmxx.dll Sat 5 Nov 2005 11:53:50 ..S.R 232 957 227,50 K
browseui.dll Sat 3 Sep 2005 1:06:12 A.... 1 020 416 996,50 K
cdfview.dll Sat 3 Sep 2005 1:06:12 A.... 152 064 148,50 K
cdosys.dll Sat 10 Sep 2005 2:55:14 A.... 2 067 968 1,97 M
danim.dll Sat 3 Sep 2005 1:06:12 A.... 1 056 256 1,00 M
dxtrans.dll Sat 3 Sep 2005 1:06:12 A.... 205 312 200,50 K
extmgr.dll Sat 3 Sep 2005 1:06:12 ..... 55 808 54,50 K
h42o0e~1.dll Thu 3 Nov 2005 20:52:00 ..S.R 235 244 229,73 K
hgl.dll Sat 12 Nov 2005 21:41:24 ..S.R 233 035 227,57 K
hr4205~1.dll Sun 6 Nov 2005 18:21:20 ..S.R 235 244 229,73 K
hrlu05~1.dll Mon 7 Nov 2005 14:52:42 ..S.R 233 892 228,41 K
i642lg~1.dll Sun 30 Oct 2005 18:30:26 ..S.R 234 443 228,95 K
iepeers.dll Sat 3 Sep 2005 1:06:12 A.... 251 392 245,50 K
inseng.dll Sat 3 Sep 2005 1:06:12 A.... 96 768 94,50 K
irpsl5~1.dll Fri 11 Nov 2005 23:52:16 ..S.R 234 954 229,45 K
irrml5~1.dll Thu 10 Nov 2005 21:52:24 ..S.R 232 957 227,50 K
j8j60i~1.dll Sun 30 Oct 2005 18:47:50 ..S.R 235 244 229,73 K
ktl6l7~1.dll Wed 2 Nov 2005 18:01:12 ..S.R 235 244 229,73 K
linkinfo.dll Thu 1 Sep 2005 2:43:38 A.... 19 968 19,50 K
lxeps13n.dll Fri 11 Nov 2005 9:51:10 ..S.R 234 954 229,45 K
mshtml.dll Tue 4 Oct 2005 17:26:06 A.... 3 013 120 2,87 M
mshtmled.dll Sat 3 Sep 2005 1:06:12 A.... 448 512 438,00 K
msrating.dll Sat 3 Sep 2005 1:06:12 A.... 146 432 143,00 K
mstime.dll Sat 3 Sep 2005 1:06:12 A.... 530 432 518,00 K
msvcr71.dll Sun 16 Oct 2005 17:24:46 A.... 348 160 340,00 K
mzvbvm60.dll Fri 4 Nov 2005 17:04:44 ..S.R 235 244 229,73 K
netman.dll Mon 22 Aug 2005 19:35:10 A.... 197 632 193,00 K
p0n8la~1.dll Sat 12 Nov 2005 21:51:58 ..S.R 233 035 227,57 K
pncrt.dll Mon 3 Oct 2005 12:03:54 A.... 278 528 272,00 K
pndx5016.dll Mon 3 Oct 2005 12:03:56 A.... 6 656 6,50 K
pndx5032.dll Mon 3 Oct 2005 12:03:56 A.... 5 632 5,50 K
pngfilt.dll Sat 3 Sep 2005 1:06:12 A.... 39 424 38,50 K
quartz.dll Tue 30 Aug 2005 4:55:44 A.... 1 293 312 1,23 M
rmoc3260.dll Mon 3 Oct 2005 12:03:58 A.... 123 392 120,50 K
rvstls.dll Thu 10 Nov 2005 19:49:58 ..S.R 234 954 229,45 K
shdocvw.dll Sat 3 Sep 2005 1:06:12 A.... 1 484 288 1,41 M
shell32.dll Fri 23 Sep 2005 4:07:00 A.... 8 506 880 8,11 M
shlwapi.dll Sat 3 Sep 2005 1:06:12 A.... 474 112 463,00 K
t08ula~1.dll Tue 25 Oct 2005 17:08:50 ..S.R 234 443 228,95 K
umpnpmgr.dll Tue 23 Aug 2005 4:39:36 A.... 124 928 122,00 K
urlmon.dll Sat 3 Sep 2005 1:06:12 A.... 605 696 591,50 K
vtar2132.dll Sat 12 Nov 2005 21:53:58 ..... 234 954 229,45 K
wininet.dll Sat 3 Sep 2005 1:06:12 A.... 662 528 647,00 K
winsrv.dll Thu 1 Sep 2005 2:43:38 A.... 292 352 285,50 K

47 items found: 47 files (17 H/S), 0 directories.
Total of file sizes: 27 834 949 bytes 26,54 M
Locate .tmp files:

C:\WINDOWS\SYSTEM32\
guard.tmp Sun 13 Nov 2005 9:37:48 ..S.R 234 954 229,45 K

1 item found: 1 file (1 H/S), 0 directories.
Total of file sizes: 234 954 bytes 229,45 K
**********************************************************************************
Directory Listing of system files:
Le volume dans le lecteur C s'appelle Win XP
Le num‚ro de s‚rie du volume est E8F6-4EE0

R‚pertoire de C:\WINDOWS\System32

13/11/2005 09:37 234ÿ954 guard.tmp
12/11/2005 21:51 233ÿ035 p0n8la5u1d.dll
12/11/2005 21:41 233ÿ035 HGL.DLL
11/11/2005 23:52 234ÿ954 irpsl5771.dll
11/11/2005 09:51 234ÿ954 lxeps13n.dll
10/11/2005 21:52 232ÿ957 irrml5911.dll
10/11/2005 19:49 234ÿ954 rVstls.dll
07/11/2005 14:52 233ÿ892 hrlu0539e.dll
06/11/2005 18:21 235ÿ244 hr4205hoe.dll
05/11/2005 11:53 232ÿ957 axivtmxx.dll
04/11/2005 22:58 <REP> dllcache
04/11/2005 20:32 235ÿ244 althz.dll
04/11/2005 17:04 235ÿ244 mzvbvm60.dll
03/11/2005 20:51 235ÿ244 h42o0ef3eh2.dll
02/11/2005 18:01 235ÿ244 ktl6l73s1.dll
30/10/2005 18:47 235ÿ244 j8j60i1se8.dll
30/10/2005 18:30 234ÿ443 i642lgho164c.dll
28/10/2005 21:43 234ÿ443 axisynth_c.dll
25/10/2005 17:08 234ÿ443 t08ulal91dq.dll
19/01/2005 18:06 56 E80EC1F545.sys
19/01/2005 18:06 1ÿ890 KGyGaAvL.sys
09/12/2004 18:04 32 {9B79B03E-27D0-4B6E-BD65-004BCD1B694F}.dat
09/12/2004 18:04 32 {854099FF-90C1-4B31-875C-615B73E257F6}.dat
09/12/2004 18:03 32 {F9945AD2-BB5E-457F-83E7-8C6DFB7AD581}.dat
09/12/2004 18:02 32 {AA999F76-67FF-438B-AF9C-385DD9652475}.dat
09/12/2004 18:02 32 {66471942-B386-4628-A8F1-F899D569DAFF}.dat
09/12/2004 18:02 32 {543D0B79-A9C9-40E0-ACC0-10DB11442B91}.dat
16/11/2004 21:07 <REP> Microsoft
26 fichier(s) 4ÿ222ÿ623 octets
2 R‚p(s) 3ÿ501ÿ355ÿ008 octets libres
13 Novembre 2005 12:03:59

Rapport HJT

Logfile of HijackThis v1.99.1
Scan saved at 11:46:04, on 13/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\cisvc.exe
U:\NORTON\Norton System Works\GoBack\GBPoll.exe
U:\NORTON\NORTON~1\NORTON~2\GHOSTS~2.EXE
u:\fichier\adobe acrobat 5.05\conversions plus 6.05\FORMATM.EXE
U:\MATERIEL\MPC400\MPSERVIC.EXE
U:\NORTON\Norton AntiVirus\navapsvc.exe
U:\NORTON\Norton System Works\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
U:\NORTON\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
U:\NORTON\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
U:\MATERIEL\MPC400\MONITR32.EXE
G:\Any DVD 1.4.4.1\AnyDVD\AnyDVD.exe
U:\NORTON\Norton System Works\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
L:\BUREAUTIQUE\Works 6\WksSb.exe
G:\Clone CD 5.0.4.5\CloneCDTray.exe
C:\Program Files\QuickTime\qttask.exe
O:\Real Player\RealPlay.exe
U:\DISQUE\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Messenger\msmsgs.exe
U:\DISQUE\Microsoft AntiSpyware\gcasDtServ.exe
U:\NORTON\Norton System Works\GoBack\GBTray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
U:\MATERIEL\Versato 1.21\Versato.exe
U:\COMPRESSION\Win Zip 8.1\WZQKPICK.EXE
L:\BUREAUTIQUE\Corel Word Perfect 7\Dad7\QUICK.EXE
L:\BUREAUTIQUE\Corel Word Perfect 7\Shared\PFit7\PFPPOP70.EXE
U:\DISQUE\RegFreeze 5.1\regfreeze.exe
U:\MATERIEL\Versato 1.21\MePlayer.exe
U:\MATERIEL\Versato 1.21\OSD.EXE
U:\MATERIEL\Versato 1.21\MailChk.exe
L:\BUREAUTIQUE\Office XP\Office10\msoffice.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
P:\INFORMATIQUE\PROGRAMMES\Anti virus\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freetelecom.com/consom/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - U:\FICHIER\ACROBAT READER 5.0.5\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [monitr32] U:\MATERIEL\MPC400\MONITR32.EXE
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "G:\Any DVD 1.4.4.1\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] "G:\Any DVD 1.4.4.1\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] U:\NORTON\Norton System Works\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] U:\NORTON\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WorksFUD] L:\BUREAUTIQUE\Works 6\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] L:\BUREAUTIQUE\Works 6\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] L:\BUREAUTIQUE\Works 6\WkDetect.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] L:\BUREAU~1\CORELW~1\Shared\QFinder7\QFSCHED.EXE
O4 - HKLM\..\Run: [CloneCDTray] "G:\Clone CD 5.0.4.5\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MacLicense] "u:\fichier\adobe acrobat 5.05\conversions plus 6.05\MacLic.exe"
O4 - HKLM\..\Run: [RealTray] O:\Real Player\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [gcasServ] "U:\DISQUE\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DAD (gestionnaire des applications du bureau) de Corel .LNK = L:\BUREAUTIQUE\Corel Word Perfect 7\Dad7\QUICK.EXE
O4 - Startup: PerfectPrint.LNK = L:\BUREAUTIQUE\Corel Word Perfect 7\Shared\PFit7\PFPPOP70.EXE
O4 - Startup: RegFreeze.lnk = U:\DISQUE\RegFreeze 5.1\regfreeze.exe
O4 - Global Startup: GoBack.lnk = U:\NORTON\Norton System Works\GoBack\GBTray.exe
O4 - Global Startup: Microsoft Office.lnk = L:\BUREAUTIQUE\Office XP\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: Versato.lnk = U:\MATERIEL\Versato 1.21\Versato.exe
O4 - Global Startup: WinZip Quick Pick.lnk = U:\COMPRESSION\Win Zip 8.1\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk142YY...
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://L:\BUREAU~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {3B2E9991-0C57-426F-A5E4-784C7A5C6420} (Datasheet control) - http://alldatasheet.com/Datasheet.cab
O16 - DPF: {3FBAA996-55CF-47FA-A231-A94829D1E364} (alldatasheet control) - http://alldatasheet.com/alldatasheet.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) - http://www.euras.com/euras/activex2/euras.CAB
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\ktp2l77o1.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GBPoll - Roxio, Inc. - U:\NORTON\Norton System Works\GoBack\GBPoll.exe
O23 - Service: GhostStartService - Symantec Corporation - U:\NORTON\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: MacFormatService - Unknown owner - u:\fichier\adobe acrobat 5.05\conversions plus 6.05\FORMATM.EXE" /SERVICE (file missing)
O23 - Service: MpService - Canon Inc - U:\MATERIEL\MPC400\MPSERVIC.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - U:\NORTON\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - U:\NORTON\Norton System Works\Norton Utilities\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - U:\NORTON\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - U:\NORTON\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

13 Novembre 2005 12:08:19

bonjour l infection a resister

fix sa


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about :blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\ktp2l77o1.dll

supprime ce fichier

C:\WINDOWS\system32\ktp2l77o1.dll

ensuite va faire un scan sur panda qui devrais voir l infection look2me

et poste le rapport panda plus un nouveau log hijacthis
13 Novembre 2005 12:22:43

Bonjour Alessio,

Merci pour la réponse.

Tu dis faire un scan avec Panda. Dois-je télécharger Panda Antivirus ?

Bientôt, je vais me retrouver avec 5000 anti-virus et plus de place pour les autres progs...... lol. Quelle galère !!!!

Merci de ta réponse et du temps consacré.

Domi.

13 Novembre 2005 12:40:31

Merci,

J'ai toujours hésité à faire des scans en ligne car mon débit est de l'ordre de 3K en téléchargement.
Mais bon, je vais essayer.

Te tiens au courant de l'évolution.

Domi.
13 Novembre 2005 14:08:34

Rapport de panda, après 2 passes.

Detected Disinfected
Virus 0 0
Spyware 0 0
Hacking Tools 0 0
Dialers 0 0
Security Risks 0 0
Suspicious files 0 0

Fix réalisé, Suppression ktp217701.dll impossible car occupé.
Il faut que je le fasse en mode sans échec......

Je dois m'absenter pour la journée, verrai à mon retour.

En attendant, mon dernier HJT.

Ah, pendant les 2 scans panda, (plus d'1 heure), je n'ai pas vu de fenêtres macromédia.
En progrès ?

Merci encore.

Domi.

Logfile of HijackThis v1.99.1
Scan saved at 14:02:29, on 13/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\cisvc.exe
U:\NORTON\Norton System Works\GoBack\GBPoll.exe
U:\NORTON\NORTON~1\NORTON~2\GHOSTS~2.EXE
u:\fichier\adobe acrobat 5.05\conversions plus 6.05\FORMATM.EXE
U:\MATERIEL\MPC400\MPSERVIC.EXE
U:\NORTON\Norton AntiVirus\navapsvc.exe
U:\NORTON\Norton System Works\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
U:\NORTON\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
U:\NORTON\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
U:\MATERIEL\MPC400\MONITR32.EXE
G:\Any DVD 1.4.4.1\AnyDVD\AnyDVD.exe
U:\NORTON\Norton System Works\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
L:\BUREAUTIQUE\Works 6\WksSb.exe
G:\Clone CD 5.0.4.5\CloneCDTray.exe
C:\Program Files\QuickTime\qttask.exe
O:\Real Player\RealPlay.exe
U:\DISQUE\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Messenger\msmsgs.exe
U:\DISQUE\Microsoft AntiSpyware\gcasDtServ.exe
U:\NORTON\Norton System Works\GoBack\GBTray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
U:\MATERIEL\Versato 1.21\Versato.exe
U:\COMPRESSION\Win Zip 8.1\WZQKPICK.EXE
L:\BUREAUTIQUE\Corel Word Perfect 7\Dad7\QUICK.EXE
L:\BUREAUTIQUE\Corel Word Perfect 7\Shared\PFit7\PFPPOP70.EXE
U:\DISQUE\RegFreeze 5.1\regfreeze.exe
U:\MATERIEL\Versato 1.21\MePlayer.exe
U:\MATERIEL\Versato 1.21\OSD.EXE
U:\MATERIEL\Versato 1.21\MailChk.exe
L:\BUREAUTIQUE\Office XP\Office10\msoffice.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
U:\FICHIER\ACROBAT READER 5.0.5\Acrobat\Acrobat.exe
C:\Program Files\Fichiers communs\Symantec Shared\Nmain.exe
U:\NORTON\Norton System Works\CKA.exe
C:\WINDOWS\system32\NOTEPAD.EXE
P:\INFORMATIQUE\PROGRAMMES\Anti virus\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freetelecom.com/consom/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - U:\FICHIER\ACROBAT READER 5.0.5\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [monitr32] U:\MATERIEL\MPC400\MONITR32.EXE
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "G:\Any DVD 1.4.4.1\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] "G:\Any DVD 1.4.4.1\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] U:\NORTON\Norton System Works\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] U:\NORTON\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WorksFUD] L:\BUREAUTIQUE\Works 6\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] L:\BUREAUTIQUE\Works 6\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] L:\BUREAUTIQUE\Works 6\WkDetect.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] L:\BUREAU~1\CORELW~1\Shared\QFinder7\QFSCHED.EXE
O4 - HKLM\..\Run: [CloneCDTray] "G:\Clone CD 5.0.4.5\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MacLicense] "u:\fichier\adobe acrobat 5.05\conversions plus 6.05\MacLic.exe"
O4 - HKLM\..\Run: [RealTray] O:\Real Player\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [gcasServ] "U:\DISQUE\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SymKeepAlive] U:\NORTON\Norton System Works\CKA.exe
O4 - Startup: DAD (gestionnaire des applications du bureau) de Corel .LNK = L:\BUREAUTIQUE\Corel Word Perfect 7\Dad7\QUICK.EXE
O4 - Startup: PerfectPrint.LNK = L:\BUREAUTIQUE\Corel Word Perfect 7\Shared\PFit7\PFPPOP70.EXE
O4 - Startup: RegFreeze.lnk = U:\DISQUE\RegFreeze 5.1\regfreeze.exe
O4 - Global Startup: GoBack.lnk = U:\NORTON\Norton System Works\GoBack\GBTray.exe
O4 - Global Startup: Microsoft Office.lnk = L:\BUREAUTIQUE\Office XP\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: Versato.lnk = U:\MATERIEL\Versato 1.21\Versato.exe
O4 - Global Startup: WinZip Quick Pick.lnk = U:\COMPRESSION\Win Zip 8.1\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk142YY...
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://L:\BUREAU~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {3B2E9991-0C57-426F-A5E4-784C7A5C6420} (Datasheet control) - http://alldatasheet.com/Datasheet.cab
O16 - DPF: {3FBAA996-55CF-47FA-A231-A94829D1E364} (alldatasheet control) - http://alldatasheet.com/alldatasheet.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) - http://www.euras.com/euras/activex2/euras.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{B94B008C-B547-4B80-8A59-5064950D9CBB}: NameServer = 212.27.32.5 213.228.0.168
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\ktp2l77o1.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GBPoll - Roxio, Inc. - U:\NORTON\Norton System Works\GoBack\GBPoll.exe
O23 - Service: GhostStartService - Symantec Corporation - U:\NORTON\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: MacFormatService - Unknown owner - u:\fichier\adobe acrobat 5.05\conversions plus 6.05\FORMATM.EXE" /SERVICE (file missing)
O23 - Service: MpService - Canon Inc - U:\MATERIEL\MPC400\MPSERVIC.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - U:\NORTON\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - U:\NORTON\Norton System Works\Norton Utilities\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - U:\NORTON\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - U:\NORTON\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Evidemment, il y a toujours la ligne 020.....


13 Novembre 2005 16:02:22

Bonjour,

pour virer Look2Me, si l2mfix ne donne rien, essaie Spy Sweeper
parfois il réussit à le supprimer.
13 Novembre 2005 18:16:00

Bonjour Esteban,

Merci de tes connaissances.

Je viens de passer sur ton lien et 8M à télécharger, il me faut donc un peu de patience.

Après redémarrage et recherche dans la base de registre, je retrouve ce fichier (ligne 20, une
nouvelle dll, t08u0al9edq.dll) à la clé suivante:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Dynamic Directory]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\t08u0al9edq.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

Le pb, c'est qu'est ce qui me modifie cette ligne à chaque démarrage. Le spyware OK, mais
comment accède t-il à la base de registre. Si je lance un démarrage pas à pas, suis-je capable de
repérer cette commande ?

Pour l'instant, je n'ai plus de "figeage" dès la connexion mais les fenêtres macromedia sont revenues.

Arffff, quelle plaie ce truc.

Domi.
14 Novembre 2005 07:20:30

Bonjour,

Spy Sweeper me trouve:

Adware trouvé: icannews
loook2me
Winad
azsearch toolbar
gozilla

5 éléments trouvés, 20 traces.

A ce moment c'est le seul détecteur qui ait été capable de m'informer sur le nom des intrus.

Effacement fichiers, puis second scan ou il ne trouve rien.
Je dois maintenant aller bosser, voici mon Hijack.
A ma première connexion, ma machine s'est bloquée sur l'ouverture des programmes.
J'ai l'impression que lorsque le pb est elliminé, il se recharge via le net mais ce qui est curieux en ce cas, c'est l'absence de trafic sur la barre de navigation.
Et toujours pareil, 10mn de paralysie.

Logfile of HijackThis v1.99.1
Scan saved at 06:52:09, on 14/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\cisvc.exe
U:\NORTON\Norton System Works\GoBack\GBPoll.exe
U:\NORTON\NORTON~1\NORTON~2\GHOSTS~2.EXE
u:\fichier\adobe acrobat 5.05\conversions plus 6.05\FORMATM.EXE
U:\MATERIEL\MPC400\MPSERVIC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
U:\NORTON\Norton AntiVirus\navapsvc.exe
U:\NORTON\Norton System Works\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
U:\NORTON\NORTON~1\SPEEDD~1\nopdb.exe
U:\DISQUE\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
U:\MATERIEL\MPC400\MONITR32.EXE
G:\Any DVD 1.4.4.1\AnyDVD\AnyDVD.exe
U:\NORTON\Norton System Works\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
L:\BUREAUTIQUE\Works 6\WksSb.exe
G:\Clone CD 5.0.4.5\CloneCDTray.exe
C:\Program Files\QuickTime\qttask.exe
O:\Real Player\RealPlay.exe
U:\DISQUE\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Messenger\msmsgs.exe
U:\NORTON\Norton System Works\CKA.exe
U:\DISQUE\Microsoft AntiSpyware\gcasDtServ.exe
U:\NORTON\Norton System Works\GoBack\GBTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
U:\NORTON\Norton AntiVirus\SAVScan.exe
U:\MATERIEL\Versato 1.21\Versato.exe
U:\COMPRESSION\Win Zip 8.1\WZQKPICK.EXE
L:\BUREAUTIQUE\Corel Word Perfect 7\Dad7\QUICK.EXE
L:\BUREAUTIQUE\Corel Word Perfect 7\Shared\PFit7\PFPPOP70.EXE
U:\MATERIEL\Versato 1.21\MePlayer.exe
U:\MATERIEL\Versato 1.21\OSD.EXE
U:\MATERIEL\Versato 1.21\MailChk.exe
L:\BUREAUTIQUE\Office XP\Office10\msoffice.exe
C:\WINDOWS\system32\cidaemon.exe
U:\DISQUE\Spy Sweeper\SpySweeper.exe
P:\INFORMATIQUE\PROGRAMMES\Anti virus\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freetelecom.com/consom/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - U:\FICHIER\ACROBAT READER 5.0.5\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [monitr32] U:\MATERIEL\MPC400\MONITR32.EXE
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "G:\Any DVD 1.4.4.1\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] "G:\Any DVD 1.4.4.1\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] U:\NORTON\Norton System Works\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] U:\NORTON\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WorksFUD] L:\BUREAUTIQUE\Works 6\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] L:\BUREAUTIQUE\Works 6\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] L:\BUREAUTIQUE\Works 6\WkDetect.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] L:\BUREAU~1\CORELW~1\Shared\QFinder7\QFSCHED.EXE
O4 - HKLM\..\Run: [CloneCDTray] "G:\Clone CD 5.0.4.5\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MacLicense] "u:\fichier\adobe acrobat 5.05\conversions plus 6.05\MacLic.exe"
O4 - HKLM\..\Run: [RealTray] O:\Real Player\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [gcasServ] "U:\DISQUE\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SymKeepAlive] U:\NORTON\Norton System Works\CKA.exe
O4 - Startup: DAD (gestionnaire des applications du bureau) de Corel .LNK = L:\BUREAUTIQUE\Corel Word Perfect 7\Dad7\QUICK.EXE
O4 - Startup: PerfectPrint.LNK = L:\BUREAUTIQUE\Corel Word Perfect 7\Shared\PFit7\PFPPOP70.EXE
O4 - Startup: RegFreeze.lnk = U:\DISQUE\RegFreeze 5.1\regfreeze.exe
O4 - Global Startup: GoBack.lnk = U:\NORTON\Norton System Works\GoBack\GBTray.exe
O4 - Global Startup: Microsoft Office.lnk = L:\BUREAUTIQUE\Office XP\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: Versato.lnk = U:\MATERIEL\Versato 1.21\Versato.exe
O4 - Global Startup: WinZip Quick Pick.lnk = U:\COMPRESSION\Win Zip 8.1\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk142YY...
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://L:\BUREAU~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {3B2E9991-0C57-426F-A5E4-784C7A5C6420} (Datasheet control) - http://alldatasheet.com/Datasheet.cab
O16 - DPF: {3FBAA996-55CF-47FA-A231-A94829D1E364} (alldatasheet control) - http://alldatasheet.com/alldatasheet.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) - http://www.euras.com/euras/activex2/euras.CAB
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GBPoll - Roxio, Inc. - U:\NORTON\Norton System Works\GoBack\GBPoll.exe
O23 - Service: GhostStartService - Symantec Corporation - U:\NORTON\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: MacFormatService - Unknown owner - u:\fichier\adobe acrobat 5.05\conversions plus 6.05\FORMATM.EXE" /SERVICE (file missing)
O23 - Service: MpService - Canon Inc - U:\MATERIEL\MPC400\MPSERVIC.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - U:\NORTON\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - U:\NORTON\Norton System Works\Norton Utilities\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - U:\NORTON\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - U:\NORTON\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - U:\DISQUE\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Bonne journée. Je reviens ce soir et vous tient au courant.

Domi.

14 Novembre 2005 08:57:23

Bonjour,

En tout cas, plus de trace de Look2Me dans le rapport HJT.
Pour info la ligne O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
provient de Spy Sweeper.
14 Novembre 2005 18:01:08

Bonsoir,

Je viens de refaire un HJT, toujours cette ligne 20 mais inchangée et rassurant d'après ce que tu me dis.
A la connexion, je n'ai pas eu de blocage des programmes, mais un temps de chargement de page plus long qu'à l'habitude. Le bougre, il essaye de résister.......lol.
En revanche, lorsque j'accédais à une page google, j'avais systématiquement l'ouverture d'une nouvelle fenêtre, et là tout est correct.
Avant de conclure à une panne résolue, j'attends quelques temps mais ne manque pas de vous faire connaître la finalité.

En attendant merci de votre aide précieuse, elle m'a permis de découvrir un peu mieux l'univers de ces pollueurs de PC très pénibles.

Domi.
18 Novembre 2005 20:53:52

Bonsoir,

Voici donc le résumé, assez long j'en convient de ce que j'ai fait et les résultats.

Après analyse anti virus Norton 2005, trouvé ceci:
althz.dll
axisynth_c.dll
axivtmxx.dll
dysinth.dll C:\windows\system32
guard.tmp
h42o0ef3eh2.dll
HGL.DLL
hr4205hoe.dll
hrlu0539e.dll
i654lgho164c.dll
irrml5911.dll
j8j60i1se8.dll
ktl6l73s1.dll
lv4u09h09e.dll C:\windows\system32
lxeps13n.dll
t08ulal91dq.dll
mzvbmv60.dll
rVstls.dll
Wxssvc.dll

Toutes ces menaces ayant pour nom Adware.Look2Me

Supprimé tous ces éléments.

One button checkup
Analyse du registre windows:
Entrées activeX/COM incorrectes
La clé CLSID\{CB673772-332E-4C44-9E72-010FD2640C75}\InprocServer32"
Fait référence à un fichier manquant, "C:\WINDOWS\System32\dysynth.dll."

Fichiers programmes manquants:
C:\Program Files\Fichiers communs\InstallShield\RunTime\0701\Intel32\
DotNetInstaller.exe ne peut accéder à un fichier requis, "mscoree.dll"

Réparation puis réanalyse:
Toujours le pb de mscoree.dll ???.

Analyse avec Adware SE 1.06r1:
RAS.

Analyse avec RegFreeze 5.1:
Dans base de registre, trouvé:
HKCU\Software\Microsoft\Internet Explorer\Main = "LocalPage"
HKLM\Software\Microsoft\Internet Explorer\Main = "LocalPage"

Supprimé tous ces éléments.

Analyse avec Spybot Search and Destroy 1.4
4543 produits néfastes déjà bloqués, 2813 autres protections possibles.
Veuillez vacciner.
Après vaccination: 7356 produits néfastes sont bloqués.

Mais bon, c'est quoi ces produits néfastes ?

Analyse avec Spy Sweeper 4.5.5
XITI cookie c:\documents and settings\utilisateur\cookies\utilisateur@xiti[1].txt

Suppression.

Redémarrage PC.

HijackThis indique encore 2 fichiers R0 LocalPage Blank. Suppression.

Analyse avec Ad Aware, il trouve 17 Cookies, apparemment sans gravité.

Analyse Norton AV: RAS.

Analyse Microsoft Anti Spyware: RAS.

Analyse RegFreeze: RAS.

Analyse SpyBot: RAS.

Analyse Spy Sweeper: RAS.

Redémarrage PC:

Analyse RegFreeze: 2 fichiers LocalPage Blank. Non supprimés.

HijackThis: RAS

Analyse avec Ad Aware: RAS

Analyse Spy Sweeper: 3 Cookies, Supprimés.

Analyse SpyBot: RAS.

Analyse Norton One button checkup: Toujours le pb de mscoree.dll.
Savez vous ce qu'est ce fichier et à quel programme il appartient ?

Analyse Norton AV: RAS.

Analyse Microsoft Anti Spyware: RAS.

Analyse Norton AV: RAS.


Bon voilà, pour résumer, deux questions:

Que sont les produits néfastes de SpyBot ?.
Origine fichier mscoree.dll ?

Bilan du surf: Pas d'ouvertures de fenêtres intempestives.
Pas d'animation macromédia.
Attente à la 1ère connexion environ 7mn.
Pas d'attente sur d'autres connexions......

Je vais donc attendre pour voir si ce dernier inconvénient est éliminé,
tout en faisant des tests HJT de temps en temps.

Merci à vous tous pour votre aide.

Domi.




Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS