Problème avec cmd.exe

salut

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
Si tu as du mal, regarde ceci:
http://pageperso.aol.fr/balltrap34/demohijack.htm

a+

Voici ce qui s'affiche avant :

You have an particularly large amount of hijacked domains. It's probably better to delete the file itself then to fix each item (and create a back up).

If you see the same IP adress in all the reported 01 items, consider deleting your hosts file, which is located :

C:/WINDO/System32/drivers/etc/hosts


Qu'est-ce que cela signifie?

Précision, je ne me sers plus d'internet explorer mais de firefox!

Voilà le scan


Logfile of HijackThis v1.99.1
Scan saved at 20:11:45, on 07/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDO\System32\smss.exe
C:\WINDO\system32\winlogon.exe
C:\WINDO\system32\services.exe
C:\WINDO\system32\lsass.exe
C:\WINDO\system32\svchost.exe
C:\WINDO\System32\svchost.exe
C:\WINDO\Explorer.EXE
C:\WINDO\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDO\System32\spooler.exe
C:\WINDO\System32\svchost.exe
C:\WINDO\wordpad.exe
C:\WINDO\System32\msmsngr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDO\System32\task32w.exe
C:\Documents and Settings\PETIOT\Mes documents\Diverses installations\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R3 - Default URLSearchHook is missing
O1 - Hosts: 128.250.24.62 onlineaccounts2.abbeynational.co.uk
O1 - Hosts: 128.250.24.62 www3.aibgbonline.co.uk
O1 - Hosts: 128.250.24.62 www.bank.alliance-leicester.co.uk
O1 - Hosts: 128.250.24.62 login.iblogin.com
O1 - Hosts: 128.250.24.62 ww2.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 128.250.24.62 inet.barclays.co.uk
O1 - Hosts: 128.250.24.62 iibank.barclays.co.uk
O1 - Hosts: 128.250.24.62 iibank.cahoot.com
O1 - Hosts: 128.250.24.62 www3.coventrybuildingsociety.co.uk
O1 - Hosts: 128.250.24.62 ww.hsbc.co.uk
O1 - Hosts: 128.250.24.62 login.ebank.offshore.hsbc.co.je
O1 - Hosts: 128.250.24.62 ww3.online-offshore.lloydstsb.com
O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ob2.nationet.com
O1 - Hosts: 128.250.24.62 ww3.onlinebanking.natwestoffshore.com
O1 - Hosts: 128.250.24.62 ww1.nwolb.com
O1 - Hosts: 128.250.24.62 ww1.onlinebanking.iombank.com
O1 - Hosts: 128.250.24.62 ww1.www.rbsdigital.com
O1 - Hosts: 128.250.24.62 welcome.smile.co.uk
O1 - Hosts: 128.250.24.62 login.365online.com
O1 - Hosts: 128.250.24.62 wvw.citizensbankonline.com
O1 - Hosts: 128.250.24.62 esecure.regionsnet.com
O1 - Hosts: 128.250.24.62 rollb.associatedbank.com
O1 - Hosts: 128.250.24.62 upb.unionplanters.com
O1 - Hosts: 128.250.24.62 www.onlinebanking.huntington.com
O1 - Hosts: 128.250.24.62 inet.southtrustonlinebanking.com
O1 - Hosts: 128.250.24.62 logon.personal.wamu.com
O1 - Hosts: 128.250.24.62 login.compassweb.com
O1 - Hosts: 128.250.24.62 logon.firstmeritib.com
O1 - Hosts: 128.250.24.62 login.ccfcuonline.org
O1 - Hosts: 128.250.24.62 ww3.etimebanker.bankofthewest.com
O1 - Hosts: 128.250.24.62 ww2.onlinebanking.lasallebank.com
O1 - Hosts: 128.250.24.62 wvw.totallyfreebanking.com
O1 - Hosts: 128.250.24.62 www.online.wellsfargo.com
O1 - Hosts: 128.250.24.62 www.onlinebanking.bankofoklahoma.com
O1 - Hosts: 128.250.24.62 accounts4.keybank.com
O1 - Hosts: 128.250.24.62 logon.bankone.com
O1 - Hosts: 128.250.24.62 www.secure.tdbanknorth.com
O1 - Hosts: 128.250.24.62 www.secure.mvnt4.com
O1 - Hosts: 128.250.24.62 ww.mynfbonline.com
O1 - Hosts: 128.250.24.62 login.forumcuonline.com
O1 - Hosts: 128.250.24.62 www.eds.usersonlnet.com
O1 - Hosts: 128.250.24.62 www.onlineid.bankofamerica.com
O1 - Hosts: 128.250.24.62 wvw.e-gold.com
O1 - Hosts: 128.250.24.62 pcbs.peoples.com
O1 - Hosts: 128.250.24.62 www.global1.onlinebank.com
O1 - Hosts: 128.250.24.62 ww2.mybranch.lafcu.com
O1 - Hosts: 128.250.24.62 login.webbanking.comerica.com
O1 - Hosts: 128.250.24.62 web.banking.firsttennessee.com
O1 - Hosts: 128.250.24.62 logon.members1st.org
O1 - Hosts: 128.250.24.62 www.cib.ibanking-services.com
O1 - Hosts: 128.250.24.62 www.miwebbusbank.ebanking-services.com
O1 - Hosts: 128.250.24.62 wvw.paypal.com
O1 - Hosts: 128.250.24.62 www.signin.ebay.com
O1 - Hosts: 128.250.24.62 wvw.etrade.com
O1 - Hosts: 128.250.24.62 ww4.fleethomelink.fleet.com
O1 - Hosts: 128.250.24.62 ww3.connect.skyfi.com
O1 - Hosts: 128.250.24.62 www6.usbank.com
O1 - Hosts: 128.250.24.62 www.bvi.bancodevalencia.es
O1 - Hosts: 128.250.24.62 extrant.banesto.es
O1 - Hosts: 128.250.24.62 banesnt.banesto.es
O1 - Hosts: 128.250.24.62 activia.caixagalicia.es
O1 - Hosts: 128.250.24.62 www.bancae.caixapenedes.com
O1 - Hosts: 128.250.24.62 login.caixasabadell.net
O1 - Hosts: 128.250.24.62 oii.cajamadrid.es
O1 - Hosts: 128.250.24.62 login.cajamar.es
O1 - Hosts: 128.250.24.62 login.ccm.es
O1 - Hosts: 128.250.24.62 ww.unicaja.es
O1 - Hosts: 128.250.24.62 www5.bancopopular.es
O1 - Hosts: 128.250.24.62 ww3.bbvanet.com
O1 - Hosts: 128.250.24.62 ww.bayernlb.de
O1 - Hosts: 128.250.24.62 ww2.berliner-volksbank.de
O1 - Hosts: 128.250.24.62 ww7.homebanking-berlin.de
O1 - Hosts: 128.250.24.62 portal09.commerzbanking.de
O1 - Hosts: 128.250.24.62 www.meine.deutsche-bank.de
O1 - Hosts: 128.250.24.62 ww2.dresdner-privat.de
O1 - Hosts: 128.250.24.62 ww.e-banking.helaba.de
O1 - Hosts: 128.250.24.62 ww.hsh-nordbank.de
O1 - Hosts: 128.250.24.62 www.my.hypovereinsbank.de
O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
O1 - Hosts: 128.250.24.62 www.banking.lbbw.de
O1 - Hosts: 128.250.24.62 lrp.sparkasse-banking.de
O1 - Hosts: 128.250.24.62 ww3.homebanking-niedersachsen.de
O1 - Hosts: 128.250.24.62 www.onlinebanking.norisbank.de
O1 - Hosts: 128.250.24.62 www.banking.postbank.de
O1 - Hosts: 128.250.24.62 wvw.internetbanking.gad.de
O1 - Hosts: 128.250.24.62 ww1.portal.izb.de
O1 - Hosts: 128.250.24.62 wvw.kunden-service.lbs.de
O1 - Hosts: 128.250.24.62 ibanking.seb.de
O1 - Hosts: 128.250.24.62 bw7.sparkasse-banking.de
O1 - Hosts: 128.250.24.62 ww2.homebanking-sparkasse.de
O1 - Hosts: 128.250.24.62 ww2.vr-networld-ebanking.de
O1 - Hosts: 128.250.24.62 ww.bics.fr
O1 - Hosts: 128.250.24.62 www.co.caixabank.fr
O1 - Hosts: 128.250.24.62 ww.creditmutuel.fr
O1 - Hosts: 128.250.24.62 internetbank.intesabci.it
O1 - Hosts: 128.250.24.62 ww.extensive.bancalombarda.it
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Microsoft Java Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINDO\System32\dllcache\java.dll
O4 - HKLM\..\Run: [msmsngr] C:\WINDO\System32\msmsngr.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [RcNB Test] blda32a.exe
O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O10 - Unknown file in Winsock LSP: c:\windo\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windo\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windo\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windo\system32\winlspak.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDO\System32\spooler.exe
O23 - Service: wordpad - Unknown owner - C:\WINDO\wordpad.exe

salut

il dit que ton fichier host est hijacké
Est ce que tu es souvent redirigé, c'est à dire quand tu veux aller sur certains sites et que tu atteris sur un autre ?
est ce que tu peux faire ceci:
lance hijackthis puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message ?

il faudrait que tu puisse mettre le rapport

ok, il est plus le log...

ne tiens pas compte de mon dernier post j'avais pas vu le rapport et apparement il à l'air bien chargé.

Quel est donc le ou les problèmes ?

Il n' y a plus personne pour m'aider ????

eh du calme

faut du temps pour tout analyser, laisse moi le temps

en attendant, fais analyser ces fichiers ici:
c:\windo\system32\winlspak.dll
C:\WINDO\wordpad.exe

http://www.virustotal.com/xhtml/virustotal_en.html

et poste le rapport

Je n'arrive pas à avoir de rapport, alors j'ai emandéé à avoir le résultat dans ma boite mail, toujours rien pour le moment!!!

Sinon le second fichier, je ne le trouve pas....

Je fais donc un scan avec ad aware car la fenetre s'est de nouveau ouverte cmd.exe....

le 1er est mauvais c'est sur :
http://castlecops.com/lsp-151.html

pour le second, au lieu de le rechercher, tu copie et colle directement le chemin du fichier dans la boite de dialogue
C:\WINDO\wordpad.exe

toujours là ?

oui toujours là j'ai eu un bug le temps de scanner!!

Donc, que dois-je faire pour éradiquer ces problèmes? tu me dis que lme premier est mauvais???

on va commencer d'abord par virer les ligne 010 dans hijack (winlspak.dll)

il faut un prog pour ca:
http://www.cexx.org/LSPFix.exe

lance LSPFIX
agrandi la fenetre du prog, sinon on voit pas le bouton "finish"

Coche 'I know what I'm doing'

Dans la colonne de gauche (KEEP) selectionne winlspak.dll (et surtout rien d'autre, attention ! tu peux perdre ta connection internet) et tu le fais passer dans la colonne de droite (REMOVE).
(tu peux le faire glisser avec la souris ou te servir des fleches dans la barre du milieu)
clic sur finish

redemarre le pc et reposte un hijack

voilà le new scan :

Logfile of HijackThis v1.99.1
Scan saved at 21:33:05, on 07/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDO\System32\smss.exe
C:\WINDO\system32\winlogon.exe
C:\WINDO\system32\services.exe
C:\WINDO\system32\lsass.exe
C:\WINDO\system32\svchost.exe
C:\WINDO\System32\svchost.exe
C:\WINDO\system32\spoolsv.exe
C:\WINDO\Explorer.EXE
C:\WINDO\System32\msmsngr.exe
C:\WINDO\System32\task32w.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDO\System32\spooler.exe
C:\WINDO\System32\svchost.exe
C:\WINDO\wordpad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\PETIOT\Mes documents\Diverses installations\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R3 - Default URLSearchHook is missing
O1 - Hosts: 128.250.24.62 onlineaccounts2.abbeynational.co.uk
O1 - Hosts: 128.250.24.62 www3.aibgbonline.co.uk
O1 - Hosts: 128.250.24.62 www.bank.alliance-leicester.co.uk
O1 - Hosts: 128.250.24.62 login.iblogin.com
O1 - Hosts: 128.250.24.62 ww2.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 128.250.24.62 inet.barclays.co.uk
O1 - Hosts: 128.250.24.62 iibank.barclays.co.uk
O1 - Hosts: 128.250.24.62 iibank.cahoot.com
O1 - Hosts: 128.250.24.62 www3.coventrybuildingsociety.co.uk
O1 - Hosts: 128.250.24.62 ww.hsbc.co.uk
O1 - Hosts: 128.250.24.62 login.ebank.offshore.hsbc.co.je
O1 - Hosts: 128.250.24.62 ww3.online-offshore.lloydstsb.com
O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ob2.nationet.com
O1 - Hosts: 128.250.24.62 ww3.onlinebanking.natwestoffshore.com
O1 - Hosts: 128.250.24.62 ww1.nwolb.com
O1 - Hosts: 128.250.24.62 ww1.onlinebanking.iombank.com
O1 - Hosts: 128.250.24.62 ww1.www.rbsdigital.com
O1 - Hosts: 128.250.24.62 welcome.smile.co.uk
O1 - Hosts: 128.250.24.62 login.365online.com
O1 - Hosts: 128.250.24.62 wvw.citizensbankonline.com
O1 - Hosts: 128.250.24.62 esecure.regionsnet.com
O1 - Hosts: 128.250.24.62 rollb.associatedbank.com
O1 - Hosts: 128.250.24.62 upb.unionplanters.com
O1 - Hosts: 128.250.24.62 www.onlinebanking.huntington.com
O1 - Hosts: 128.250.24.62 inet.southtrustonlinebanking.com
O1 - Hosts: 128.250.24.62 logon.personal.wamu.com
O1 - Hosts: 128.250.24.62 login.compassweb.com
O1 - Hosts: 128.250.24.62 logon.firstmeritib.com
O1 - Hosts: 128.250.24.62 login.ccfcuonline.org
O1 - Hosts: 128.250.24.62 ww3.etimebanker.bankofthewest.com
O1 - Hosts: 128.250.24.62 ww2.onlinebanking.lasallebank.com
O1 - Hosts: 128.250.24.62 wvw.totallyfreebanking.com
O1 - Hosts: 128.250.24.62 www.online.wellsfargo.com
O1 - Hosts: 128.250.24.62 www.onlinebanking.bankofoklahoma.com
O1 - Hosts: 128.250.24.62 accounts4.keybank.com
O1 - Hosts: 128.250.24.62 logon.bankone.com
O1 - Hosts: 128.250.24.62 www.secure.tdbanknorth.com
O1 - Hosts: 128.250.24.62 www.secure.mvnt4.com
O1 - Hosts: 128.250.24.62 ww.mynfbonline.com
O1 - Hosts: 128.250.24.62 login.forumcuonline.com
O1 - Hosts: 128.250.24.62 www.eds.usersonlnet.com
O1 - Hosts: 128.250.24.62 www.onlineid.bankofamerica.com
O1 - Hosts: 128.250.24.62 wvw.e-gold.com
O1 - Hosts: 128.250.24.62 pcbs.peoples.com
O1 - Hosts: 128.250.24.62 www.global1.onlinebank.com
O1 - Hosts: 128.250.24.62 ww2.mybranch.lafcu.com
O1 - Hosts: 128.250.24.62 login.webbanking.comerica.com
O1 - Hosts: 128.250.24.62 web.banking.firsttennessee.com
O1 - Hosts: 128.250.24.62 logon.members1st.org
O1 - Hosts: 128.250.24.62 www.cib.ibanking-services.com
O1 - Hosts: 128.250.24.62 www.miwebbusbank.ebanking-services.com
O1 - Hosts: 128.250.24.62 wvw.paypal.com
O1 - Hosts: 128.250.24.62 www.signin.ebay.com
O1 - Hosts: 128.250.24.62 wvw.etrade.com
O1 - Hosts: 128.250.24.62 ww4.fleethomelink.fleet.com
O1 - Hosts: 128.250.24.62 ww3.connect.skyfi.com
O1 - Hosts: 128.250.24.62 www6.usbank.com
O1 - Hosts: 128.250.24.62 www.bvi.bancodevalencia.es
O1 - Hosts: 128.250.24.62 extrant.banesto.es
O1 - Hosts: 128.250.24.62 banesnt.banesto.es
O1 - Hosts: 128.250.24.62 activia.caixagalicia.es
O1 - Hosts: 128.250.24.62 www.bancae.caixapenedes.com
O1 - Hosts: 128.250.24.62 login.caixasabadell.net
O1 - Hosts: 128.250.24.62 oii.cajamadrid.es
O1 - Hosts: 128.250.24.62 login.cajamar.es
O1 - Hosts: 128.250.24.62 login.ccm.es
O1 - Hosts: 128.250.24.62 ww.unicaja.es
O1 - Hosts: 128.250.24.62 www5.bancopopular.es
O1 - Hosts: 128.250.24.62 ww3.bbvanet.com
O1 - Hosts: 128.250.24.62 ww.bayernlb.de
O1 - Hosts: 128.250.24.62 ww2.berliner-volksbank.de
O1 - Hosts: 128.250.24.62 ww7.homebanking-berlin.de
O1 - Hosts: 128.250.24.62 portal09.commerzbanking.de
O1 - Hosts: 128.250.24.62 www.meine.deutsche-bank.de
O1 - Hosts: 128.250.24.62 ww2.dresdner-privat.de
O1 - Hosts: 128.250.24.62 ww.e-banking.helaba.de
O1 - Hosts: 128.250.24.62 ww.hsh-nordbank.de
O1 - Hosts: 128.250.24.62 www.my.hypovereinsbank.de
O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
O1 - Hosts: 128.250.24.62 www.banking.lbbw.de
O1 - Hosts: 128.250.24.62 lrp.sparkasse-banking.de
O1 - Hosts: 128.250.24.62 ww3.homebanking-niedersachsen.de
O1 - Hosts: 128.250.24.62 www.onlinebanking.norisbank.de
O1 - Hosts: 128.250.24.62 www.banking.postbank.de
O1 - Hosts: 128.250.24.62 wvw.internetbanking.gad.de
O1 - Hosts: 128.250.24.62 ww1.portal.izb.de
O1 - Hosts: 128.250.24.62 wvw.kunden-service.lbs.de
O1 - Hosts: 128.250.24.62 ibanking.seb.de
O1 - Hosts: 128.250.24.62 bw7.sparkasse-banking.de
O1 - Hosts: 128.250.24.62 ww2.homebanking-sparkasse.de
O1 - Hosts: 128.250.24.62 ww2.vr-networld-ebanking.de
O1 - Hosts: 128.250.24.62 ww.bics.fr
O1 - Hosts: 128.250.24.62 www.co.caixabank.fr
O1 - Hosts: 128.250.24.62 ww.creditmutuel.fr
O1 - Hosts: 128.250.24.62 internetbank.intesabci.it
O1 - Hosts: 128.250.24.62 ww.extensive.bancalombarda.it
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Microsoft Java Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINDO\System32\dllcache\java.dll
O4 - HKLM\..\Run: [msmsngr] C:\WINDO\System32\msmsngr.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [RcNB Test] blda32a.exe
O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDO\System32\spooler.exe
O23 - Service: wordpad - Unknown owner - C:\WINDO\wordpad.exe

ok, voilà la suite de la manip:

Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre

Déconnecte toi d'internet:

Ferme tout les programmes en cours

� Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

� Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

� Vide le cache de tous tes navigateurs et supprime les cookies:

Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok

Pour Firefox:
menu 'Outils' > Options
icône 'Vie privée'
rubrique Cache, appuyer sur le bouton "Vider le cache"
rubrique Cookies appuyer sur le bouton "Effacer"
valide ok

Pour Mozilla
Edition > Préférences > Avancé > Cache
clic sur "Vider le cache"
et pour les cookies:
Outils > Gestionnaire de cookies > Gérer les cookies stockés
clic sur "Supprimer les cookies"
valider ok

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Print Spooler
et
wordpad
Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

� Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

R3 - Default URLSearchHook is missing
O1 - Hosts: 128.250.24.62 onlineaccounts2.abbeynational.co.uk
O1 - Hosts: 128.250.24.62 www3.aibgbonline.co.uk
O1 - Hosts: 128.250.24.62 www.bank.alliance-leicester.co.uk
O1 - Hosts: 128.250.24.62 login.iblogin.com
O1 - Hosts: 128.250.24.62 ww2.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 128.250.24.62 inet.barclays.co.uk
O1 - Hosts: 128.250.24.62 iibank.barclays.co.uk
O1 - Hosts: 128.250.24.62 iibank.cahoot.com
O1 - Hosts: 128.250.24.62 www3.coventrybuildingsociety.co.uk
O1 - Hosts: 128.250.24.62 ww.hsbc.co.uk
O1 - Hosts: 128.250.24.62 login.ebank.offshore.hsbc.co.je
O1 - Hosts: 128.250.24.62 ww3.online-offshore.lloydstsb.com
O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 128.250.24.62 ob2.nationet.com
O1 - Hosts: 128.250.24.62 ww3.onlinebanking.natwestoffshore.com
O1 - Hosts: 128.250.24.62 ww1.nwolb.com
O1 - Hosts: 128.250.24.62 ww1.onlinebanking.iombank.com
O1 - Hosts: 128.250.24.62 ww1.www.rbsdigital.com
O1 - Hosts: 128.250.24.62 welcome.smile.co.uk
O1 - Hosts: 128.250.24.62 login.365online.com
O1 - Hosts: 128.250.24.62 wvw.citizensbankonline.com
O1 - Hosts: 128.250.24.62 esecure.regionsnet.com
O1 - Hosts: 128.250.24.62 rollb.associatedbank.com
O1 - Hosts: 128.250.24.62 upb.unionplanters.com
O1 - Hosts: 128.250.24.62 www.onlinebanking.huntington.com
O1 - Hosts: 128.250.24.62 inet.southtrustonlinebanking.com
O1 - Hosts: 128.250.24.62 logon.personal.wamu.com
O1 - Hosts: 128.250.24.62 login.compassweb.com
O1 - Hosts: 128.250.24.62 logon.firstmeritib.com
O1 - Hosts: 128.250.24.62 login.ccfcuonline.org
O1 - Hosts: 128.250.24.62 ww3.etimebanker.bankofthewest.com
O1 - Hosts: 128.250.24.62 ww2.onlinebanking.lasallebank.com
O1 - Hosts: 128.250.24.62 wvw.totallyfreebanking.com
O1 - Hosts: 128.250.24.62 www.online.wellsfargo.com
O1 - Hosts: 128.250.24.62 www.onlinebanking.bankofoklahoma.com
O1 - Hosts: 128.250.24.62 accounts4.keybank.com
O1 - Hosts: 128.250.24.62 logon.bankone.com
O1 - Hosts: 128.250.24.62 www.secure.tdbanknorth.com
O1 - Hosts: 128.250.24.62 www.secure.mvnt4.com
O1 - Hosts: 128.250.24.62 ww.mynfbonline.com
O1 - Hosts: 128.250.24.62 login.forumcuonline.com
O1 - Hosts: 128.250.24.62 www.eds.usersonlnet.com
O1 - Hosts: 128.250.24.62 www.onlineid.bankofamerica.com
O1 - Hosts: 128.250.24.62 wvw.e-gold.com
O1 - Hosts: 128.250.24.62 pcbs.peoples.com
O1 - Hosts: 128.250.24.62 www.global1.onlinebank.com
O1 - Hosts: 128.250.24.62 ww2.mybranch.lafcu.com
O1 - Hosts: 128.250.24.62 login.webbanking.comerica.com
O1 - Hosts: 128.250.24.62 web.banking.firsttennessee.com
O1 - Hosts: 128.250.24.62 logon.members1st.org
O1 - Hosts: 128.250.24.62 www.cib.ibanking-services.com
O1 - Hosts: 128.250.24.62 www.miwebbusbank.ebanking-services.com
O1 - Hosts: 128.250.24.62 wvw.paypal.com
O1 - Hosts: 128.250.24.62 www.signin.ebay.com
O1 - Hosts: 128.250.24.62 wvw.etrade.com
O1 - Hosts: 128.250.24.62 ww4.fleethomelink.fleet.com
O1 - Hosts: 128.250.24.62 ww3.connect.skyfi.com
O1 - Hosts: 128.250.24.62 www6.usbank.com
O1 - Hosts: 128.250.24.62 www.bvi.bancodevalencia.es
O1 - Hosts: 128.250.24.62 extrant.banesto.es
O1 - Hosts: 128.250.24.62 banesnt.banesto.es
O1 - Hosts: 128.250.24.62 activia.caixagalicia.es
O1 - Hosts: 128.250.24.62 www.bancae.caixapenedes.com
O1 - Hosts: 128.250.24.62 login.caixasabadell.net
O1 - Hosts: 128.250.24.62 oii.cajamadrid.es
O1 - Hosts: 128.250.24.62 login.cajamar.es
O1 - Hosts: 128.250.24.62 login.ccm.es
O1 - Hosts: 128.250.24.62 ww.unicaja.es
O1 - Hosts: 128.250.24.62 www5.bancopopular.es
O1 - Hosts: 128.250.24.62 ww3.bbvanet.com
O1 - Hosts: 128.250.24.62 ww.bayernlb.de
O1 - Hosts: 128.250.24.62 ww2.berliner-volksbank.de
O1 - Hosts: 128.250.24.62 ww7.homebanking-berlin.de
O1 - Hosts: 128.250.24.62 portal09.commerzbanking.de
O1 - Hosts: 128.250.24.62 www.meine.deutsche-bank.de
O1 - Hosts: 128.250.24.62 ww2.dresdner-privat.de
O1 - Hosts: 128.250.24.62 ww.e-banking.helaba.de
O1 - Hosts: 128.250.24.62 ww.hsh-nordbank.de
O1 - Hosts: 128.250.24.62 www.my.hypovereinsbank.de
O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
O1 - Hosts: 128.250.24.62 www.banking.lbbw.de
O1 - Hosts: 128.250.24.62 lrp.sparkasse-banking.de
O1 - Hosts: 128.250.24.62 ww3.homebanking-niedersachsen.de
O1 - Hosts: 128.250.24.62 www.onlinebanking.norisbank.de
O1 - Hosts: 128.250.24.62 www.banking.postbank.de
O1 - Hosts: 128.250.24.62 wvw.internetbanking.gad.de
O1 - Hosts: 128.250.24.62 ww1.portal.izb.de
O1 - Hosts: 128.250.24.62 wvw.kunden-service.lbs.de
O1 - Hosts: 128.250.24.62 ibanking.seb.de
O1 - Hosts: 128.250.24.62 bw7.sparkasse-banking.de
O1 - Hosts: 128.250.24.62 ww2.homebanking-sparkasse.de
O1 - Hosts: 128.250.24.62 ww2.vr-networld-ebanking.de
O1 - Hosts: 128.250.24.62 ww.bics.fr
O1 - Hosts: 128.250.24.62 www.co.caixabank.fr
O1 - Hosts: 128.250.24.62 ww.creditmutuel.fr
O1 - Hosts: 128.250.24.62 internetbank.intesabci.it
O1 - Hosts: 128.250.24.62 ww.extensive.bancalombarda.it

O4 - HKLM\..\Run: [msmsngr] C:\WINDO\System32\msmsngr.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [RcNB Test] blda32a.exe
O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

� Recherche et supprime:

Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:

C:\WINDO\System32\spooler.exe
C:\WINDO\System32\msnq3insller.exe
C:\WINDO\wordpad.exe
C:\WINDO\System32\msmsngr.exe
C:\WINDO\System32\task32w.exe
C:\WINDO\System32\blda32a.exe
C:\WINDO\System32\MSASP32.exe
C:\WINDO\System32\notes.exe
C:\WINDO\System32\compq32.exe
C:\WINDO\System32\wkfix.exe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, tres important:

:: Supprimer les fichiers temporaires ::

Manuellement:

vider tout le contenu des dossiers Temp:

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp


:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

Ou avec Cleanup:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
regarder ceci avant d'utiliser:
http://pageperso.aol.fr/balltrap34/democleanup.htm

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis, clic sur [Open the misc tools section]
clic sur [Delete an NT service]
copie et colle ceci dans le champ
Print Spooler
clic sur ok
et fais pareil pour:
wordpad
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

redemarre le pc et fais un scan ici:
http://webscanner.kaspersky.fr/
apres le chargement du control active X, clic sur suivant
puis clic sur configuration et choisis "étendue"
Choisis l'analyse répertoire et choisis ton ou tes disques durs
et poste le rapport + un nouvel hijack


Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.

a+

Je n'arrive pas à faire le scan avec kapersky, j'ai firefox et rien ne s'affiche...

Voici le nouvel hijack



Logfile of HijackThis v1.99.1
Scan saved at 22:25:45, on 07/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDO\System32\smss.exe
C:\WINDO\system32\winlogon.exe
C:\WINDO\system32\services.exe
C:\WINDO\system32\lsass.exe
C:\WINDO\system32\svchost.exe
C:\WINDO\System32\svchost.exe
C:\WINDO\Explorer.EXE
C:\WINDO\system32\spoolsv.exe
C:\WINDO\System32\ctfmon.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDO\System32\spooler.exe
C:\WINDO\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\PETIOT\Mes documents\Diverses installations\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Microsoft Java Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINDO\System32\dllcache\java.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDO\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDO\System32\spooler.exe

faut le faire avec IE, imperatif

arrete ce processus dans le gestionnaire des tache:
spooler.exe

Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Print Spooler
Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.

lance hijackthis et supprime cette ligne:
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

Reance hijackthis, clic sur [Open the misc tools section]
clic sur [Delete an NT service]
copie et colle ceci dans le champ
Print Spooler
et valide

rend visible tous les fichiers et dossiers (caché et systeme)
puis recherche et supprime

C:\WINDO\System32\spooler.exe
C:\WINDO\System32\compq32.exe

reessaye de faire le scan chez kaspersky avec IE, car il n'y a pratiquement aucun av en ligne qui passe avec firefox, et poste le rapport

a+

Ok pour Internet explorer mais le dossier spooler je ne l'ai pas trouvé je ne peux donc pas l'arrêter !!!!aie aie

Comment faire?