Bonjour Ben !

J’ai l’impression que tu as plusieurs antivirus d’installés, je me trompe ?

Je ne vois pas de ligne faisant référence à « opistat »…

Désactive le temps de la manip, le Tea Timer de spybot
lance Spybot > mode avancé> outils >> résident
Décoche la case résident "Tea Timer"
referme Spybot

Imprime ceci pour ne rien oublier de faire :

Méthode à suivre dans l'ordre...

----------------------------------------------------------------------------
Télécharge si tu ne l’as pas) mais que tu n‘utilises pas tout de suite:

Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf

----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
Désactive ta restauration système :
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique
----------------------------------------------------------------------------
Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !
----------------------------------------------------------------------------
Vide tes fichiers temps et tempory internet file:

:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !
----------------------------------------------------------------------------
Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O4 - Startup: Proxomitron v4.5.lnk = C:\Program Files\Proxomitron Naoko v4.5\Proxomitron.exe => tu connais ce programme ? si non tu fixes cette ligne
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} –
O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} –
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} –

J’ai des doutes sur les deux lignes suivantes, mais ne fixe rien je vais vérifier d’abord :
O4 - Startup: MRU-Blaster Scheduler.lnk.disabled
O4 - Startup: MRU-Blaster Silent Clean.lnk.disabled


----------------------------------------------------------------------------
Recherche et supprime ceci:

C:\Program Files\Proxomitron Naoko v4.5\Proxomitron.exe => tu connais ce programme ? si non tu supprimes le dossier

----------------------------------------------------------------------------
Passe Ad-Aware et vire tout ce qu’il trouve + vide la quarantaine
----------------------------------------------------------------------------
Passe Spybot et vire tout ce qu’il trouve + vide la quarantaine
----------------------------------------------------------------------------
> Tu vides ta poubelle et tu redémarres en mode normal et refais un HijackThis que tu postes ici.

Quand tes problèmes seront résolus, fais un windows update !

A+
Mona
Patience est mère de sûreté...

Merci real mona

pour ce qui concerne les lignes sur le proxomitron c'est un logiciel sur qui agit comme un proxy local ( merci a sebsauvage ! http://sebsauvage.net/logiciels/proxomitron.html

pour MRU blaster c'est aussi un soft sur et exempt de spywares
http://www.javacoolsoftware.com/mrublaster.html

par contre les lignes de opistat sont celles que j'ai souligné :

-O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} -
O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} -

(le nom "opistat a disparu apres que je les aient fixée mais comme tu le voit , les lignes demeurent ...

j'aurai aussi une question : en ce qui concernes les ligne 016 (active x telechargés je crois ) comment fais ton pour supprimer les programmes ? car si j'ai bien compris , en fixant les lignes , on desactive le processus mais le fichier demeure


merci de ta patience

Re,

Les 2 lignes O4 sur lesquelles j'avais des doutes sont légitimes, n'y touche pas !

A+
Mona
Patience est mère de sûreté...

Re,

Nos messages se sont croisés... ;)

Pour les lignes O16, j'ai cherché sur le net, notamment sur zebulon.fr (et tu as raison ce sont des Objets ActiveX) mais rien de mentionné sur une étape supplémentaire à faire.

Cela dit, comme je ne sais pas, si jamais qqun d'autre peut te répondre...

A+
Mona
Patience est mère de sûreté...

Ok merci de tes precisions

bye

Salut

Tu as déjà installé grokster sur ton pc ?
opistat est souvent droppé avec ce prog ou la version gratuite de norman antivirus

Vérifie si ce dossier est présent:
C:\Program Files\OpiStat
ou si tu peux désinstaller Opistat via ajout/suppression de programme

fais analyser ce fichier ici, c'est probablement un ver ou trojan:
http://www.virustotal.com/xhtml/virustotal_en.html
sur le site, clic sur parcourir, selectionne ou copie et colle le chemin du fichier, valide et clic sur send
C:\NAV_Update.exe
copie et colle le rapport d'analyse du fichier ici.

a+

Salut Moe31

effectivement j'ai choppé opistat en installant norman ( merci 9tel qui recommandais son installation ! )

bref ..

apres avoir su que ce opistat etais verolé , je l'ai supprimé et j'ai meme vire manuellement le dossier C:\Program Files\OpiStat . je suis d'autant plus etonné que ces lignes demeurent .

j'ai fais une recherche sur google et en fait la 1ere ligne etait celle d'un soft qui s'appele flowscan

la 2eme ligne etais celle d'opistat par contre

donc je ne peut pas effcetuer le scan que tu me recommandes.


sais tu comment effacer completement ces installations activex (les ligne 016 en fait ) ?
parce que hijackthis ne vire que la clé d'activation si j'ai bien compris


merci d'avance

Salut

je parlais de faire analyser ce fichier:
C:\NAV_Update.exe

il est dans les 04 de ton log.

telecharge Registry Search Tool ici:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

dezippe le et lance le, dans la fenetre du prog, tape:
8EC69950-F299-40AC-A004-3BF5176F8F7B
valide, puis attend un peu et sauvegarde le rapport

fais pareil avec:
92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613

poste les 2 rapports ici.

Ok

scan de totalvirus : AntiVir 6.32.0.6 10.28.2005 no virus found
Avast 4.6.695.0 10.27.2005 no virus found
AVG 718 10.29.2005 no virus found
Avira 6.32.0.6 10.28.2005 no virus found
BitDefender 7.2 10.30.2005 no virus found
CAT-QuickHeal 8.00 10.29.2005 no virus found
ClamAV devel-20050917 10.30.2005 no virus found
DrWeb 4.32b 10.23.2005 no virus found
eTrust-Iris 7.1.194.0 10.30.2005 no virus found
eTrust-Vet 11.9.1.0 10.29.2005 no virus found
Fortinet 2.48.0.0 10.28.2005 no virus found
F-Prot 3.16c 10.26.2005 no virus found
Ikarus 0.2.59.0 10.28.2005 no virus found
Kaspersky 4.0.2.24 10.30.2005 no virus found
McAfee 4615 10.28.2005 no virus found
NOD32v2 1.1267 10.28.2005 no virus found
Norman 5.70.10 10.28.2005 no virus found
Panda 8.02.00 10.30.2005 no virus found
Sophos 3.99.0 10.30.2005 no virus found
Symantec 8.0 10.30.2005 no virus found
TheHacker 5.8.4.128 10.30.2005 no virus found
VBA32 3.10.4 10.30.2005 no virus found


pour la 1ere ligne , y'a aucun resulat " no instances for ...



pour la 2eme ligne : 92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613





REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613" 30/10/2005 16:35:20

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}\Contains]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}\Contains\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}\DownloadInformation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}\InstalledVersion]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/opinstall.dll]
".Owner"="{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/opinstall.dll]
"{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}"=""


quelque chose de mechant ?

merci

Malgrès le resultat du scan, il ne m'inspire pas confiance du tout

tu peux faire un clic droit sur C:\NAV_Update.exe > propriétes > résumé ou version et me dire ce qu'il y a de marqué ?

recherche et supprime, s'il existe: C:/WINDOWS/System32/opinstall.dll

regarde aussi dans ajout/suppression de programme si tu as :
Netratings
ou
netratingsnetmeter
et ces dossiers dans program files:
C:\Program Files\Netratings
C:\Program Files\netratingsnetmeter

a+

Dans l'onglet "version " y'a ecrit

version du fichier 1.0.0.0

decription : vide
copyright : vide

nom de l'element /commentaire :Update Norman AV automatically

le reste y'a aucun rapport avec norman ( c'est fujitshu et c.... )

tu me conseille quoi ?

Comme tu n'as plus norman, supprime C:\NAV_Update.exe et fixe la ligne 04 lui correspondant dans hijackthis ?

tu as trouvé C:/WINDOWS/System32/opinstall.dll, il est lié à opistat et à la 016 qu'hijackthis ne supprime pas.

quand à ces 2 prog, ils sont aussi lié à opistat:
C:\Program Files\Netratings
C:\Program Files\netratingsnetmeter
pest patrol les detectent comme : NetRatings Premeter, Trojan.Win32.Small.i

est ce que tu as un de ces 2 progs ?

a+

Re

alors - C:/WINDOWS/System32/opinstall.dll n'est pas present dans mon pc

-Netratings ou netratingsnetmeter ne sont pas presents .

- NetRatings Premeter, Trojan.Win32.Small.i : je n'ai pas ces programmes


alors je vire C:\NAV_Update.exe ?

merci

Supprime le si tu n'a plus norman


ouvre le bloc note et copie et colle ceci à l'interieur:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}] 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8EC69950-F299-40AC-A004-3BF5176F8F7B}] 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi­on\ModuleUsage\C:/WINDOWS/System32/opinstall.dll]

Moe

j'effectue cette procedure apres avoir fixé et desinstalle manuellement C:\NAV_Update.exe ?

J'ai finalement fixé les 3 ligne ( la 04 et les 2 016 )

apparement ca a l'air bon


Logfile of HijackThis v1.99.1
Scan saved at 21:41:56, on 30/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\ProcessGuard\pgaccount.exe
C:\Program Files\ProcessGuard\procguard.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Proxomitron Naoko v4.5\Proxomitron.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\ben\Mes documents\Mes images\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Program Files\ProcessGuard\pgaccount.exe"
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Program Files\ProcessGuard\procguard.exe" -minimize
O4 - Startup: MRU-Blaster Scheduler.lnk.disabled
O4 - Startup: MRU-Blaster Silent Clean.lnk.disabled
O4 - Startup: Proxomitron v4.5.lnk = C:\Program Files\Proxomitron Naoko v4.5\Proxomitron.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f010.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A8C3824-E6EF-4188-A5BE-17191551F74B}: NameServer = 80.118.192.100 80.118.196.36
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Program Files\ProcessGuard\dcsuserprot.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mince j'y crois pas !!

en recochant le tea timer , la ligne 04 s'est reinstallée bien que j'ai virer manuellement l'execution .

autre chose je viens de me rendre compte que j'avais dans c/programms files /NAV update ( un dossier

quand je l'ouvre y'a un icone sft4.ini et 5 dossiers nommés "download 1 , 2 , 3 qui contiennent des fichiers .zip

je le vire ?

merci pour ta patience


je te poste un autre hijack


Logfile of HijackThis v1.99.1
Scan saved at 21:56:49, on 30/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\ProcessGuard\pgaccount.exe
C:\Program Files\ProcessGuard\procguard.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Proxomitron Naoko v4.5\Proxomitron.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ben\Mes documents\Mes images\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Program Files\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Program Files\ProcessGuard\procguard.exe" -minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: MRU-Blaster Scheduler.lnk.disabled
O4 - Startup: MRU-Blaster Silent Clean.lnk.disabled
O4 - Startup: Proxomitron v4.5.lnk = C:\Program Files\Proxomitron Naoko v4.5\Proxomitron.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f010.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A8C3824-E6EF-4188-A5BE-17191551F74B}: NameServer = 80.118.192.100 80.118.196.36
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Program Files\ProcessGuard\dcsuserprot.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Salut

ca doit etre le dossier contenant les maj de norman, supprime le, et si tu as un doute fais une copie du dossier quelque part dans ton pc

quand le tea timer, t'a avertis pour la 04, tu as accepté la modif ou refusé ?
il faut accepter la modification apres que tu l'ais fixée

il reste encore cette 016:
92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613

refais une recherche avec le prog regsrch.vbs sur 92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613 et poste le rapport

a+

Ok voila le scan

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613" 30/10/2005 22:34:56

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/opinstall.dll]
".Owner"="{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/opinstall.dll]
"{92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613}"=""


sinon pour la cle 04 c'est a desesperer ... je l'efface mais des que je recoche le tea timer ,, il me refuse la modification du registre

"resident a refusé la modificaton ... selon votre liste noire

apparement au lieu d'accepter la 1ere fois la modification , j'ai refuse et maintenant , il bloque automatiquement .

faut y croire !!!!

lol
merci