[Hijactkthis] System32.bmp
Fermé
robespierre24
Messages postés
20
Date d'inscription
vendredi 21 octobre 2005
Statut
Membre
Dernière intervention
8 mars 2008
-
13 juil. 2006 à 22:20
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 16 juil. 2006 à 12:34
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 16 juil. 2006 à 12:34
A voir également:
- [Hijactkthis] System32.bmp
- [.Shellclassinfo] localizedresourcename=@%systemroot%\system32\shell32.dll,-21787 ✓ - Forum Windows
- Lecteur bmp gratuit - Télécharger - Photo & Graphisme
- X:\windows\system32> - Forum Windows 10
- X:/windows/system32 - Forum Matériel & Système
- Cmd system32 - Forum Windows
11 réponses
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
14 juil. 2006 à 13:00
14 juil. 2006 à 13:00
Salut
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_s...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://advisor.futuremark.com/global/msc37.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/fr/check/qdiagh.cab?326
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
Supprime
C:\WINDOWS\System32\FTRTSVC.exe
Arrête ces services :
Clique sur Démarrer->exécuter->tape: services.msc
Double-clique: Service: France Telecom Routing Table Service
Règle-le sur "Arrêté" et "Désactivé".
Redemarre le pc et remet un hijack this
PS: Peux tu eviter de passer des lignes ;-) Merci
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_s...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://advisor.futuremark.com/global/msc37.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/fr/check/qdiagh.cab?326
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
Supprime
C:\WINDOWS\System32\FTRTSVC.exe
Arrête ces services :
Clique sur Démarrer->exécuter->tape: services.msc
Double-clique: Service: France Telecom Routing Table Service
Règle-le sur "Arrêté" et "Désactivé".
Redemarre le pc et remet un hijack this
PS: Peux tu eviter de passer des lignes ;-) Merci
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
14 juil. 2006 à 14:12
14 juil. 2006 à 14:12
Salut Robespierre
Je me ferais un plaisir de repondre a ta question mais je ne la comprend pas. Peux tu la reformuler?
Tu veux parler de fixer?
Je comprend pas pourquoi tu me parle d envoyer....
;-)
A+
Je me ferais un plaisir de repondre a ta question mais je ne la comprend pas. Peux tu la reformuler?
Tu veux parler de fixer?
Je comprend pas pourquoi tu me parle d envoyer....
;-)
A+
robespierre24
Messages postés
20
Date d'inscription
vendredi 21 octobre 2005
Statut
Membre
Dernière intervention
8 mars 2008
14 juil. 2006 à 14:22
14 juil. 2006 à 14:22
En fait, dans ton premeir post, tu as écrit :
"PS: Peux tu eviter de passer des lignes ;-) Merci"
Ca veut dire quoi ?
"PS: Peux tu eviter de passer des lignes ;-) Merci"
Ca veut dire quoi ?
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
14 juil. 2006 à 14:36
14 juil. 2006 à 14:36
re,
dans le rapport que tu as mis, les lignes du rapport ne sont pas collés et c est vraiment embetant pour l analyser, tu comprend?
a+
dans le rapport que tu as mis, les lignes du rapport ne sont pas collés et c est vraiment embetant pour l analyser, tu comprend?
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
robespierre24
Messages postés
20
Date d'inscription
vendredi 21 octobre 2005
Statut
Membre
Dernière intervention
8 mars 2008
15 juil. 2006 à 15:04
15 juil. 2006 à 15:04
Bon bon...
Alors voilà.
Le copain a fixer tous les éléments que tu avais demandés de fixer.
Mais, le problème persiste.
La connexion internet est très lente, voire se bloque.
Sur sa messagerie (outlook), il reçoit, mais les messages envoyés se bloquent au milieu du parcours.
Il m'a dit qu'un message s'ouvrait et l'envoyait vers SystemDoctor.
En fouillant, j'ai trouvé la procédure avec Blacklight et Brute Force Uninstaller
post : infecte probleme systemdoctor et page de pub
Avec Blacklight, il avait des processus et fichiers invisibles :
07/14/06 22:28:30 [Info]: BlackLight Engine 1.0.42 initialized
07/14/06 22:28:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/14/06 22:28:31 [Note]: 7019 4
07/14/06 22:28:31 [Note]: 7005 0
07/14/06 22:28:50 [Note]: 7006 0
07/14/06 22:28:50 [Note]: 7011 1376
07/14/06 22:28:50 [Note]: 7026 0
07/14/06 22:28:50 [Note]: 7026 0
07/14/06 22:28:50 [Note]: 7024 3
07/14/06 22:28:50 [Info]: Hidden process: C:\windows\system32\xzqbayies.exe
07/14/06 22:28:50 [Note]: FSRAW library version 1.7.1019
07/14/06 22:28:59 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.EXE
07/14/06 22:29:00 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.DAT
07/14/06 22:29:01 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~2.DAT
07/14/06 22:29:02 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZAE48~1.DAT
07/14/06 22:29:08 [Info]: Hidden file: c:\WINDOWS\Prefetch\XZQBAY~1.PF
J'ai suivi tes conseils fournis dans le post. La procédure a fonctionné puisque le second rapport a donné ceci :
07/15/06 09:37:46 [Info]: BlackLight Engine 1.0.42 initialized
07/15/06 09:37:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/15/06 09:37:47 [Note]: 7019 4
07/15/06 09:37:47 [Note]: 7005 0
07/15/06 09:37:56 [Note]: 7006 0
07/15/06 09:37:56 [Note]: 7011 1360
07/15/06 09:37:57 [Note]: 7026 0
07/15/06 09:37:57 [Note]: 7026 0
07/15/06 09:38:00 [Note]: FSRAW library version 1.7.1019
07/15/06 09:38:47 [Note]: 2000 1006
07/15/06 09:39:26 [Note]: 7007 0
Donc a priori xzqbayies.exe était squizzé.
Sauf qu'il m'a dit n'avoir pas pu localiser et détruire après FBU un des 6 fichiers concernés c'est-à-dire : xzqbayies.exe
On a relancé la bécane.
Refait un log BFU et Hijack (ci-dessous).
Or, surprise dans le log hijack apparaît :
O4 - HKLM\..\Run: [xzqbayies] c:\windows\system32\xzqbayies.exe xzqbayies
On l'a fixé ce matin.
Puis on a relancé, mais internet patine et se bloque.
Par contre, systemdoctor a disparu.
Voici les log BFU et HJ :
BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 09:05:33, on 15/07/2006
Option Delete files to Recycle Bin: Yes
Failed: DllUnregister C:\WINDOWS\system32\MSWBM32.DLL|1 (file not found)
Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
Failed: FolderDelete C:\Program Files\dialpass (folder not found)
Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
Failed: FolderDelete C:\Program Files\egroup (folder not found)
Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
Failed: DllUnregister C:\WINDOWS\mslagent\2_mslagent.dll|1 (file not found)
Failed: DllUnregister C:\WINDOWS\navmpc\2_navmpc.dll|1 (file not found)
Failed: FolderDelete C:\WINDOWS\mslagent (folder not found)
Failed: FolderDelete C:\WINDOWS\navmpc (folder not found)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF7646.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF87BE.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFAF5D.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFE55D.tmp (operation failed)
Failed: FolderCreate C:\WINDOWS\system32\bfubackups (folder already exists)
Script completed.
Logfile of HijackThis v1.99.1
Scan saved at 12:07:40, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Micro Application\SuperZip\ZTray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
D:\HOPITAL\HIJACKTHIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ZGTray] C:\Program Files\Micro Application\SuperZip\ZTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: ASUS Hotkey.lnk = C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Lancer Voissa Anonymo - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/tw/
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AC7AA27-0FFF-4AD2-A7C5-F42FE880C6C8}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Pour couronner le tout, un message windows l'informe que sa copie est contrefaite, alors que le XP était fourni dans son portable.
Que faire ?
Alors voilà.
Le copain a fixer tous les éléments que tu avais demandés de fixer.
Mais, le problème persiste.
La connexion internet est très lente, voire se bloque.
Sur sa messagerie (outlook), il reçoit, mais les messages envoyés se bloquent au milieu du parcours.
Il m'a dit qu'un message s'ouvrait et l'envoyait vers SystemDoctor.
En fouillant, j'ai trouvé la procédure avec Blacklight et Brute Force Uninstaller
post : infecte probleme systemdoctor et page de pub
Avec Blacklight, il avait des processus et fichiers invisibles :
07/14/06 22:28:30 [Info]: BlackLight Engine 1.0.42 initialized
07/14/06 22:28:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/14/06 22:28:31 [Note]: 7019 4
07/14/06 22:28:31 [Note]: 7005 0
07/14/06 22:28:50 [Note]: 7006 0
07/14/06 22:28:50 [Note]: 7011 1376
07/14/06 22:28:50 [Note]: 7026 0
07/14/06 22:28:50 [Note]: 7026 0
07/14/06 22:28:50 [Note]: 7024 3
07/14/06 22:28:50 [Info]: Hidden process: C:\windows\system32\xzqbayies.exe
07/14/06 22:28:50 [Note]: FSRAW library version 1.7.1019
07/14/06 22:28:59 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.EXE
07/14/06 22:29:00 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.DAT
07/14/06 22:29:01 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~2.DAT
07/14/06 22:29:02 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZAE48~1.DAT
07/14/06 22:29:08 [Info]: Hidden file: c:\WINDOWS\Prefetch\XZQBAY~1.PF
J'ai suivi tes conseils fournis dans le post. La procédure a fonctionné puisque le second rapport a donné ceci :
07/15/06 09:37:46 [Info]: BlackLight Engine 1.0.42 initialized
07/15/06 09:37:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/15/06 09:37:47 [Note]: 7019 4
07/15/06 09:37:47 [Note]: 7005 0
07/15/06 09:37:56 [Note]: 7006 0
07/15/06 09:37:56 [Note]: 7011 1360
07/15/06 09:37:57 [Note]: 7026 0
07/15/06 09:37:57 [Note]: 7026 0
07/15/06 09:38:00 [Note]: FSRAW library version 1.7.1019
07/15/06 09:38:47 [Note]: 2000 1006
07/15/06 09:39:26 [Note]: 7007 0
Donc a priori xzqbayies.exe était squizzé.
Sauf qu'il m'a dit n'avoir pas pu localiser et détruire après FBU un des 6 fichiers concernés c'est-à-dire : xzqbayies.exe
On a relancé la bécane.
Refait un log BFU et Hijack (ci-dessous).
Or, surprise dans le log hijack apparaît :
O4 - HKLM\..\Run: [xzqbayies] c:\windows\system32\xzqbayies.exe xzqbayies
On l'a fixé ce matin.
Puis on a relancé, mais internet patine et se bloque.
Par contre, systemdoctor a disparu.
Voici les log BFU et HJ :
BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 09:05:33, on 15/07/2006
Option Delete files to Recycle Bin: Yes
Failed: DllUnregister C:\WINDOWS\system32\MSWBM32.DLL|1 (file not found)
Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
Failed: FolderDelete C:\Program Files\dialpass (folder not found)
Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
Failed: FolderDelete C:\Program Files\egroup (folder not found)
Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
Failed: DllUnregister C:\WINDOWS\mslagent\2_mslagent.dll|1 (file not found)
Failed: DllUnregister C:\WINDOWS\navmpc\2_navmpc.dll|1 (file not found)
Failed: FolderDelete C:\WINDOWS\mslagent (folder not found)
Failed: FolderDelete C:\WINDOWS\navmpc (folder not found)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF7646.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF87BE.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFAF5D.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFE55D.tmp (operation failed)
Failed: FolderCreate C:\WINDOWS\system32\bfubackups (folder already exists)
Script completed.
Logfile of HijackThis v1.99.1
Scan saved at 12:07:40, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Micro Application\SuperZip\ZTray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
D:\HOPITAL\HIJACKTHIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ZGTray] C:\Program Files\Micro Application\SuperZip\ZTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: ASUS Hotkey.lnk = C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Lancer Voissa Anonymo - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/tw/
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AC7AA27-0FFF-4AD2-A7C5-F42FE880C6C8}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Pour couronner le tout, un message windows l'informe que sa copie est contrefaite, alors que le XP était fourni dans son portable.
Que faire ?
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
15 juil. 2006 à 17:13
15 juil. 2006 à 17:13
Salut
Les messages C est le nouveau gadget de Microsoft; il a fait une mise a jour recemment?
a++
Les messages C est le nouveau gadget de Microsoft; il a fait une mise a jour recemment?
a++
robespierre24
Messages postés
20
Date d'inscription
vendredi 21 octobre 2005
Statut
Membre
Dernière intervention
8 mars 2008
15 juil. 2006 à 17:20
15 juil. 2006 à 17:20
Je pense que oui..
Voilà les derniers développement dans un mail qu'il a réussi à m'envoyer :
...
A vrai dire rien de changé. J'ai refait
toutes les démarches faites ce matin et apparremment il ne reste plus de
virus . Cependant la connexion internet est très lente ou inaboutie et à
chaque ouverture le même message récurrent de logiciel non conforme. Je
tente de t'expédier ça ; si ça ne marche pas je tente par Orange.
-------
Voilà.
Je ne sais que lui dire.
Philippe
Voilà les derniers développement dans un mail qu'il a réussi à m'envoyer :
...
A vrai dire rien de changé. J'ai refait
toutes les démarches faites ce matin et apparremment il ne reste plus de
virus . Cependant la connexion internet est très lente ou inaboutie et à
chaque ouverture le même message récurrent de logiciel non conforme. Je
tente de t'expédier ça ; si ça ne marche pas je tente par Orange.
-------
Voilà.
Je ne sais que lui dire.
Philippe
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
15 juil. 2006 à 17:27
15 juil. 2006 à 17:27
Salut
je te retrouve le poste concernant ce soucis et je te le donne
a+
je te retrouve le poste concernant ce soucis et je te le donne
a+
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
15 juil. 2006 à 17:31
15 juil. 2006 à 17:31
Voila la discution que j ai eu recemment avec Rumba, (un collegue) concernant ce probleme:
contrefacon de logiciel#2006 07 13%2020%3A01%3A11
Plusieurs solutions sont données, a vous de tester !
Je ne vous presente que les solutions legales bien sur.
Tiens moi au courant.
a+
PS: Pour sa protection, ca sera bien de lui installer un pare feu.
contrefacon de logiciel#2006 07 13%2020%3A01%3A11
Plusieurs solutions sont données, a vous de tester !
Je ne vous presente que les solutions legales bien sur.
Tiens moi au courant.
a+
PS: Pour sa protection, ca sera bien de lui installer un pare feu.
robespierre24
Messages postés
20
Date d'inscription
vendredi 21 octobre 2005
Statut
Membre
Dernière intervention
8 mars 2008
16 juil. 2006 à 08:38
16 juil. 2006 à 08:38
Merci pour le lien.
Je lui envoie et te tiens informé de la solution qui a marché.
Sinon, quel firewall utiliser ?
Merci.
Je lui envoie et te tiens informé de la solution qui a marché.
Sinon, quel firewall utiliser ?
Merci.
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
16 juil. 2006 à 12:34
16 juil. 2006 à 12:34
De rien robespierre :-)
Je te conseillerais kerio que tu peux telecharger gratuitement ici:
http://entraide.aceboard.fr/175280-2008-988-0-Securiser-Proteger-ordinateur-contr...
A+
Je te conseillerais kerio que tu peux telecharger gratuitement ici:
http://entraide.aceboard.fr/175280-2008-988-0-Securiser-Proteger-ordinateur-contr...
A+
14 juil. 2006 à 13:41
J'envoie la procédure au collègue et te tiens informé.
"envoyer des lignes" ? Je suppose que c'est tout ce qu'il y a avant le R0 du log avec les c: ?
Désolé....
PM