Votre question

clé de registre qui revient à chaque démarrage

Tags :
  • Mise à jour
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Décembre 2004 16:46:58

bonjour,
depuis quelque temps,j'ai eu beaucoup d'espion et j'ai réussi à tous les supprimer sauf un.
J'ai une clé de registre que ad-aware identifie et supprime mais à chaque démarrage elle revient.
J'ai souvent des pages qui s'affichent et me gène dans ma naviguation et mes autres activités(jeux...):
exemple de page: page play poker,page de X...
et aussi une page qui me dit impossible de trouver le serveur même quand mon modem n' est pas branché, et plein d'autres pages mettant en cause la sécurité du PC pourtant j'ai ad-aware,spybot,AVG et sygate.(mise à jour régulière)
Je pense que c'est cette clé qui en est la cause!
Chemin de la cle:
HKCU/soft/microsoft/windows/current version/internet setting/zone mape/domains/63.219.181.7

Merci d'avance pour votre aide

ps: à noter que j'ai essayé ad-aware en mode sans échec. :-o

Autres pages sur : cle registre revient demarrage

17 Décembre 2004 16:48:26

Essaye aussi de faire un test avec SPYBOT...
17 Décembre 2004 16:53:10

je l'ai déja fait et spybot ne repere même pas cette clé il n'y a que ad-aware qui l'identifie merci si vous avez d'autres suggestions
Contenus similaires
17 Décembre 2004 16:54:01

Et tu as fait toutes les mise a jour de spybot et de ad-aware???
17 Décembre 2004 16:56:07

oui il n'y a aucune mise a jour disponible pour le moment....
17 Décembre 2004 16:58:16

t'as essayer la version spybot1.4 beta ?

et les applications au demarrage ? avec msconfig par exemple
17 Décembre 2004 16:59:07

vide aussi ton cache internet... sinon je ne crois pas qu'il soit nécessaire de faire fonctionner spybot et adaware en mode sans échec... refais le sous windows normal... et dis nous si cela change qqchose
17 Décembre 2004 17:04:01

comment vide t-on son cache internet? et le msconfig j'ai entendu parler mais je ne connais pas très bien pouriez vous me fournir plus d'explication svp
17 Décembre 2004 17:08:38

désolé en fait j'avais déja vider le cache internet mais je ne savais pas qu'on disait cela comme ça. lol
donc non même après avoir vidé le cache il ne supprime pas la clé défitivement
17 Décembre 2004 17:12:15

y doit avoir un processus qui créer cette clé au démarrage, regarde dans le gestionnaire de tâche au début quand tu boot windows sans aucun autre programme voir les processus.. ou regarder dans msconfig les programmes au démarrage..
17 Décembre 2004 17:14:08

Msconfig :

Démarrer
Exécuter
tappe msconfig
onglet démarrage
17 Décembre 2004 17:15:11

ouais j'y ai pensé mais comment savoir qu'elle prog démarre la clé.
j'avoue que je suis un peu perdu peut tu me guider je pense que tu as raison
17 Décembre 2004 17:19:34

nomme ce que tu as comme programme au départ..
17 Décembre 2004 17:21:24

lorsque je tape msconfig onglet démarrage il ya de nombreux prog avec les emplacements mais j'en fait quoi tu veux que je reboot mon pc?
17 Décembre 2004 17:23:47

donne la liste de ces progs, avec leurs adresses
17 Décembre 2004 17:41:53

telecharge HJT ICI

Tu lance le prog,tu fais scan only,en bas a droit ,config,tools,open process, en bas a droite back,
et en bas a gauche scan puis tu fais save log ( tu donne le nom que tu veux) tu ouvres le log et puis copier coller ici ;-)
17 Décembre 2004 17:52:43

en voici déja une partie je vous envoi la suite
Soundman soundman.exe HKLM/soft/micro/wind/current version/run
NvCpl rundll32.exe c:win… HKLM/soft/micro/wind/current version/run
Nwiz nwiz.exe/install HKLM/soft/micro/wind/current version/run
Start messenger c:/progra~1/mess HKLM/soft/micro/wind/current version/run
Avgcc32 c:/progra files/griso HKLM/soft/micro/wind/current version/run
Cnxmon c:/progra~1/wana.. HKLM/soft/micro/wind/current version/run
Watch c:p rogra~1/wana HKLM/soft/micro/wind/current version/run
Taskbaricon :p rogra~1/wana HKLM/soft/micro/wind/current version/run
Types32 c:/program files/micro HKLM/soft/micro/wind/current version/run
Point32 c:/program files/micro HKLM/soft/micro/wind/current version/run
Nerocheck c:/windows/system HKLM/soft/micro/wind/current version/run
Adiras adiras.exe HKLM/soft/micro/wind/current version/run
Wfwiz c:/program files/winf HKLM/soft/micro/wind/current version/run
Smc d:/sygate/smc.exe HKLM/soft/micro/wind/current version/run
Winampa d:/winamp/winampa HKLM/soft/micro/wind/current version/run
Msnappau c:/program files HKLM/soft/micro/wind/current version/run
Cp2chek Cp2chek.exe HKLM/soft/micro/wind/current version/run
17 Décembre 2004 18:02:26

et voila la fin
Anydvd c:/program files/slyso HKLM/soft/micro/wind/current version/run
Ctfmon c:/windows/system HKCU/SOFT/MICRO/WIN/CURRENT VERSION/RUN
NVMCTRAY rundll32.exe c:/win HKCU/SOFT/MICRO/WIN/CURRENT VERSION/RUN
Style xp c:/program files/tgt HKCU/SOFT/MICRO/WIN/CURRENT VERSION/RUN
Shareaza d:/shareaza HKCU/SOFT/MICRO/WIN/CURRENT VERSION/RUN
Freescan c:/freescan/freescan HKCU/SOFT/MICRO/WIN/CURRENT VERSION/RUN
Dslmon c:/prog/sage…..common startup
Image transfer c:/prog/sony….common startup
Microsoft office c:/progra/micro…..common startup
Powerreg scheduler c:/doc and sett startup
17 Décembre 2004 18:03:15

c'est vraimant un bazar vous voyez qqchoses d'anormal?
17 Décembre 2004 18:07:25

Waouh !!

Dans Spybot, utilise le mode avancé (onglet mode)
Va dans outils, démarrage système.

Décoche :
Microsoft office c:/progra/micro…..common startup
Image transfer c:/prog/sony….common startup
Start messenger c:/progra~1/mess HKLM/soft/micro/wind/current version/run


Y'en a tellement ...

Toujours sous spybot dans démarrage système, tu peux faire appaître un volet en cliquant sur la barre grise à droite : tu y verras des informations qui t'aiderons à savoir qui désactiver.

17 Décembre 2004 18:09:50

Logfile of HijackThis v1.99.0
Scan saved at 18:09:02, on 17/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\sygate\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
D:\Winamp\winampa.exe
C:\WINDOWS\System32\sp2chek.exe
C:\Program Files\Slysoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Mes documents\nolantop\hjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [SmcService] D:\sygate\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [sp2chek.exe] sp2chek.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\Slysoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Shareaza] "D:\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{1338382E-F7AE-47EA-8F08-8BC292F9F557}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: AVG6 Service - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - D:\sygate\smc.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

17 Décembre 2004 18:27:48

avec spyboy dans le menu démarragge systeme j'ai décoché un grand nombre d'élement dont un qui est considéré comme inutile "virus spyware malware ou auter dévoreur de ressource"
nom du fichier :c:/windows /system32/ctfmon.exe
description coollwebsearch parasit related hijacking to slowsearch.com
comment se fait il qu'il n'ai pas été reperé avant pensez vs que c'est la cause de mon probleme.

la cléde registre d'ad-awrae est tjs présente...
17 Décembre 2004 20:20:16

O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net

serait peut-être bon d'enlever ça.. si tu peux..
17 Décembre 2004 20:24:09

oui tu as raison c'est ce qui m'embête mais comment je l'enleve?
17 Décembre 2004 21:07:44

lorsque je supprime la ligne 63.219.181.7 elle revient aprés un démarrage. (je la suprime en cochant et appuyant sur fix de hjt) . c'est un truc de dingue elle revient tt le temps. y a t'il une autre solution pour la supprimer?
17 Décembre 2004 21:08:03

lorsque je supprime la ligne 63.219.181.7 elle revient aprés un démarrage. (je la suprime en cochant et appuyant sur fix de hjt) . c'est un truc de dingue elle revient tt le temps. y a t'il une autre solution pour la supprimer?
17 Décembre 2004 21:13:47

Il faudrait trouver qu'est-ce qui créer cette clé..
et là faut chercher..
j'espère que ton ordi n'est pas trop plein
regarder pour des choses anormal dans..
c:\Program files
c:\Documents and setting\%utilisateur%\Local settings
vide tes fichiers temporaires de internet aussi..
17 Décembre 2004 21:17:58

fais un scan , mais avec un anti virus , puis utilise un firewall pourbloquer toute requetes vers ton pc anormale ....

ds spybot coche loption de protection de la page de demarrage ...sinon utilise Firefox ou equivalent...
17 Décembre 2004 21:31:28

C:\WINDOWS\System32\sp2chek.exe
je comprend pas comment ca tu as ça si tu as que le Sp1 d'installer, d'après ce que je peux voir..

Citation :

nolantop a écrit :
Logfile of HijackThis v1.99.0
Scan saved at 18:09:02, on 17/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
...
17 Décembre 2004 21:42:45

O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

ces fichiers là sont les plus suceptibles de nuire.. c'est en rapport a un modem dsl.. mais bon.. on sait rien sur les logiciels installés sur ton ordinateur et tout ce qui a comme matériel..
17 Décembre 2004 22:02:41

d'aprés spybot c'est fichier ne sont pas dangereux es-tu sur que je dois les supprimer
17 Décembre 2004 22:12:32

es tu chee free ? si ouii ce sont les drivers de ton modem dc pas touche ...

adiras est un fichier de la config free ou sagem je sais plus
17 Décembre 2004 22:20:07

je suis chez wanadoo mais tu as raison je pense que c'est a mon modem quand au wfast c'est la tunner.
je viens de me rendre compte que la fameuse clés se met a mon insu dans la partie des site de confiance dans mes propriete d'internet tjs kla même http/63.219.181.7
17 Décembre 2004 22:23:39

tu utilise IE 6.0 ?
17 Décembre 2004 22:37:17

oui 6.0
18 Décembre 2004 11:11:19

bonjour à tous,
tout d'abord merci pour votre aide d'hier mais rien ne fonctionne.
Je voulais vous dire que sur le forum zébulon un membre a eu le même problème il y a quelque ssemaines et un autre membre avait presque trouvé la solution:
il explique qu' un trojan backdoor.agent.ba régénère la clé de registre à chaque redémarrage et que c' est lui qu'il faut éradiqué;J'ai donc essayé sa méthode mais malheureusement ma clé de registre est toujours là.
Donc je cherche encore...
18 Décembre 2004 12:26:57

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net

Bonjour,

voila, tu peux aire un scan hjt tu cocher les lignes ci-dessus ,tu fermes toutes les fenetres et prog autre que hjt et tu fixes puis tu redemarre et tu remets un log ici,


;-)
18 Décembre 2004 13:29:38

j'ai supprimer ce que tu m'as dit mais il reste tjs le même
Logfile of HijackThis v1.99.0
Scan saved at 13:26:31, on 18/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\sygate\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
D:\Winamp\winampa.exe
C:\WINDOWS\System32\sp2chek.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Propriétaire\Mes documents\nolantop\hjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [SmcService] D:\sygate\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [sp2chek.exe] sp2chek.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [SpybotSnD] "D:\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Shareaza] "D:\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Image Transfer.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AVG6 Service - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - D:\sygate\smc.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

18 Décembre 2004 14:30:14

Salut,

tu redemarre en mode sans echec sca hjt et tu fixe ces trois lignes

C:\WINDOWS\System32\sp2chek.exe
O4 - HKLM\..\Run: [sp2chek.exe] sp2chek.exe
O15 - Trusted Zone: http://*.63.219.181.7

Si tu le trouve supprime le fichier c:\windows\system32\sp2chek.exe





et remet un log HJT apres
18 Décembre 2004 15:18:27

Logfile of HijackThis v1.99.0
Scan saved at 15:17:14, on 18/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\sygate\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
D:\Winamp\winampa.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\pingnet.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\WINDOWS\System32\sp2chek.exe
C:\Documents and Settings\Propriétaire\Mes documents\nolantop\hjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [SmcService] D:\sygate\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [SpybotSnD] "D:\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [sp2chek.exe] sp2chek.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Shareaza] "D:\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Image Transfer.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1338382E-F7AE-47EA-8F08-8BC292F9F557}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: AVG6 Service - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - D:\sygate\smc.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe


j'ai fait ce que tu m'as dit et j'ai supprimé le fichier dans le c: win/syst32 sp2..
18 Décembre 2004 15:29:40

c'est peut-être un programme que tu as installé recemment, essai de désinstaller toute les petite connerie que t'as installé recemment.
18 Décembre 2004 18:04:13

Ok ,bon tu vas telecharger la version trial de kasperski ici , et tu mets à jours.

T u arretes les process suivant (ctrl alt del)
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\pingnet.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\WINDOWS\System32\sp2chek.exe


Tu redemarres en mode sans echec (F8) tu lances adawre ,spybot et kasperski puis tu redemares

Tu reposte un log , on va l'avoir :-D ;-)
19 Décembre 2004 00:06:00

ouahouuuuuuuu apparament il est plus la je viens de finir d'effectuer ce que tu m'as dit de faire.
regarde
Logfile of HijackThis v1.99.0
Scan saved at 00:01:41, on 19/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\sygate\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
D:\Winamp\winampa.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\sp2chek.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Mes documents\nolantop\hjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcfg.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [SmcService] D:\sygate\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [SpybotSnD] "D:\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [sp2chek.exe] sp2chek.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Shareaza] "D:\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Image Transfer.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC8F9868-EE35-426A-9D61-DA40DAA11323}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: AVG6 Service - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - D:\sygate\smc.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

visiblement il existe plus j'ai scané avec ad-aware il est plus la.
sinon j'ai du suprrimé kapersky parcequ'il m'empéchait d'aller sur internet.

Merci beaucoup de tes conseils et ta patience j'espere que mes problemes serviront de base a d'autres personnes.

encore une fois merci @+ :-P
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS