Clean Zango (et autres ?)
Le
Tytalus
Salutations,
A force de voir passer des logs HijackThis, j'ai décidé d'en remettre
un coup depuis le temps.
Surtout aussi à cause d'un Zango qui me bouffe pas mal de mémoire
Donc je compte bien le check et tenter de lui casser la tête, mais je
soumets le reste à ceux d'entre vous qui auront la bonté de se pencher
sur la log ci-jointe.
Merci d'avance pour vos futurs conseils avisés :)
--
Logfile of HijackThis v1.97.7
Scan saved at 11:04:24, on 25/06/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\Network Associates\VirusScan4_5\avsynmgr.exe
C:\WINNT\System32\svchost.exe
D:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
D:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\system32egsvc.exe
C:\WINNT\system32\MSTask.exe
c:\winnt\system32\svcsoclew2k.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MouseWarePro\MWProEng.exe
C:\EPOAgentaimag32.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\loadqm.exe
D:\Program Files\EasyPHP1-7\easyphp.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\WINNT\System32svp.exe
C:\Program Files\Yahoo!\Messenger\YPager.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Agent\agent.exe
d:\Documents and Settings\m322373\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.searchwww.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
= http://www.searchwww.com/bar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
= http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
http://www.searchwww.com/search.cgi?s=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Liens
O1 - Hosts: 57.11.14.48 SLG2CDGSG
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} -
C:\WINNT\system32\ATPART~1.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
C:\WINNT\Downloaded Program Files\bridge.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} -
C:\Program Files\MK Net Work\ZipMail iN\ZminDLL.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MWProEng] C:\Program
Files\MouseWarePro\MWProEng.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [ZipMail LN System Tray add-on] "C:\Program Files\MK
Net Work\ZipMail LN\zmailLN.exe" 033 hidden
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgentaimag32.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [EasyPHP] "D:\Program Files\EasyPHP1-7\easyphp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe
-minimize
O4 - HKLM\..\Run: [zango] c:\program files\zango\zango.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program
Files\bridge.dll",Load
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe
-trayboot
O8 - Extra context menu item: &Document Tree - C:\WINNT\web\tree.htm
O8 - Extra context menu item: &Google Search - res://c:\program
files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program
files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page -
res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Program
Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program
Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\program
files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: View Partial So&urce -
C:\WINNT\web\source.htm
O9 - Extra 'Tools' menuitem: &Document Tree (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: RealGuide (HKLM)
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class)
- http://www.addictivetechnologies.ne...wfwr1d.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) -
http://xlg06cdgqp.cdg.airfrance.fr/qp2.cab
O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} -
http://www.searchwww.com/search.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX 5.5
Basic) - http://editorct/jslib/ScriptX/ScriptX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) -
http://download.macromedia.com/pub/...tor/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} -
http://a1540.g.akamai.net/7/1540/52...taller.exe
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) -
http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {99410CDE-6F16-42CE-9D49-3807F78F0287} (ZangoInstaller
Class) -
http://infinity.zango.com/gateway/r...roductidV9
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) -
http://static.flingstone.com/cab/20...bridge.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash
Object) -
http://download.macromedia.com/pub/...wflash.cab
O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} -
http://fdl.msn.com/public/investor/v9/ticker.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX
Class) - http://cdn.digitalcity.com/_media/d...a/ampx.cab
--
--
"Incrementum Ex Certamine."
A force de voir passer des logs HijackThis, j'ai décidé d'en remettre
un coup depuis le temps.
Surtout aussi à cause d'un Zango qui me bouffe pas mal de mémoire
Donc je compte bien le check et tenter de lui casser la tête, mais je
soumets le reste à ceux d'entre vous qui auront la bonté de se pencher
sur la log ci-jointe.
Merci d'avance pour vos futurs conseils avisés :)
--
Logfile of HijackThis v1.97.7
Scan saved at 11:04:24, on 25/06/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\Network Associates\VirusScan4_5\avsynmgr.exe
C:\WINNT\System32\svchost.exe
D:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
D:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\system32egsvc.exe
C:\WINNT\system32\MSTask.exe
c:\winnt\system32\svcsoclew2k.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MouseWarePro\MWProEng.exe
C:\EPOAgentaimag32.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\loadqm.exe
D:\Program Files\EasyPHP1-7\easyphp.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\WINNT\System32svp.exe
C:\Program Files\Yahoo!\Messenger\YPager.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Agent\agent.exe
d:\Documents and Settings\m322373\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.searchwww.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
= http://www.searchwww.com/bar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
= http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
http://www.searchwww.com/search.cgi?s=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Liens
O1 - Hosts: 57.11.14.48 SLG2CDGSG
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} -
C:\WINNT\system32\ATPART~1.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
C:\WINNT\Downloaded Program Files\bridge.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} -
C:\Program Files\MK Net Work\ZipMail iN\ZminDLL.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MWProEng] C:\Program
Files\MouseWarePro\MWProEng.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [ZipMail LN System Tray add-on] "C:\Program Files\MK
Net Work\ZipMail LN\zmailLN.exe" 033 hidden
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgentaimag32.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [EasyPHP] "D:\Program Files\EasyPHP1-7\easyphp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe
-minimize
O4 - HKLM\..\Run: [zango] c:\program files\zango\zango.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program
Files\bridge.dll",Load
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe
-trayboot
O8 - Extra context menu item: &Document Tree - C:\WINNT\web\tree.htm
O8 - Extra context menu item: &Google Search - res://c:\program
files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program
files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page -
res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Program
Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program
Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\program
files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: View Partial So&urce -
C:\WINNT\web\source.htm
O9 - Extra 'Tools' menuitem: &Document Tree (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: RealGuide (HKLM)
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class)
- http://www.addictivetechnologies.ne...wfwr1d.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) -
http://xlg06cdgqp.cdg.airfrance.fr/qp2.cab
O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} -
http://www.searchwww.com/search.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX 5.5
Basic) - http://editorct/jslib/ScriptX/ScriptX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) -
http://download.macromedia.com/pub/...tor/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} -
http://a1540.g.akamai.net/7/1540/52...taller.exe
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) -
http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {99410CDE-6F16-42CE-9D49-3807F78F0287} (ZangoInstaller
Class) -
http://infinity.zango.com/gateway/r...roductidV9
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) -
http://static.flingstone.com/cab/20...bridge.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash
Object) -
http://download.macromedia.com/pub/...wflash.cab
O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} -
http://fdl.msn.com/public/investor/v9/ticker.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX
Class) - http://cdn.digitalcity.com/_media/d...a/ampx.cab
--
--
"Incrementum Ex Certamine."
Poser une question
Je m'appelle Sophie, ou Pamela si vous préférez.
Je suis également peu douée, et je suis seule au monde.
Et célibataire.
Voilà.
Si ça peut aider en plus.
*grin*
--
"Incrementum Ex Certamine."
<snip>
Heu oui, c'est le Newsreader dans lequel je suis en train de rédiger
le message actuel ;)
Je sais ce que c'est, un zippeur automatique de mail.
Je garde :)
Pareil.
Nope, ça c'est 2 petits tweak bien pratiques.
Ca évite le "View Source" sur toute une page.
Là, pour info :
http://www.microsoft.com/windows/ie...ccess.mspx
Okidoki.
Bon, j'ai pas Outlook mais je vais fermer IE. ;)
Merci pour la réponse, je m'execute et je redonne éventuellement des
détails.
--
"Incrementum Ex Certamine."
Ok, c'est en cours, j'en ai pour une 30aine de Mo d'update.
o/ ouais.
J'en profite pour insulter la maintenance du parc. :)
En fait non.
Après renseignement et double-check Kaspersky/McAffee, c'est sans
danger qu'ils disent.
Bizarre, ça a disparu après le nettoyage.
Je pensais pas l'avoir coché pourtant.
Grmbl.
En fait non, un truc de chez Billou, rien de grave.
C'est passé au travers du double check K/McA.
...
Voilà, tout le reste à été nettoyé.
Je vous en remercie gracieusement.
Veuillez agréer, Monsieur Joke0, l'esspression que je suis bien
content et que ce fut bien sympatoche.
Sur ce, je retourne lurker dans les ombres.
--
"Incrementum Ex Certamine."
--
Jean-Paul DROGER (enlever "anti." et remplacer "ptt" par "wanadoo" pour
me joindre en perso; remove "anti." and replace "ptt" by "wanadoo" to
answer me directly)