GLB1A2B.exe et sp.htm dans répertoires Temp

JacK [MVP]

10/07/2004 à 11:56

sur les news:%
User <vpsimon(supprimerceci)@hotmail.com> signalait:

Bonjour,

Régulièrement apparaissent les fichiers GLB1A2B.exe et SP.htm dans les
répertoires suivants : C:Documents and SettingsUserLocal
SettingsTemp et C:WINDOWSTEMP.

Ainsi que mcf.dll et peim.dll dans C:WINDOWSSYSTEM32. Avec problème
connu
page d'accueil remplacée.

Avec Adaware 6.0 mis à jour, je détecte et nettoie du spyware pour
SP.htm, mcj.dll et peim.dll.

J'utilise windows xp sp 1, version 5.1 et Internet Explorer 6.0.2,
pare-feu activé.

J'ai scanné et réparé tout le système avec plusieurs outils mis à
jours : NAV, Adaware, CWShredder, HijackThis.

L'infection revient régulièrement. J'ai l'impression que cela
commence par l'apparition du fichier GLB1A2B.exe.

Est-il possible de prévenir le problème ?

Merci pour vos tuyaux.

Simon.

'lut,

Commence par poster le rapport de HijackThis ici.

Il a cependant ses limites pour certains nouveaux Hijackers polymorphes.

Il y a un outil plus complet mais plus complexe : FINDnFIX. Attention :
dangereux si pas une bonne maîtrise.
d/l : http://downloads.subratam.org/FINDnFIX.exe UNIQUEMENT pourOS NT.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

User

10/07/2004 à 12:35

Merci.

Je ne vais pas utiliser FINDnFIX car mon pc tourne sous XP sp 1 et non sous
NT.
J'envisage de supprimer VirtualMachine de Microsoft : qu'en pensez-vous ?

Voici le rapport HijackThis :

Logfile of HijackThis v1.98.0
Scan saved at 12:25:33, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesASUSProbeAsusProb.exe
C:PROGRA~1MULTIM~1MMKBD.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSsystem32mapiicon.exe
C:Program FilesMessengermsmsgs.exe
E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe
C:WINDOWSSystem32cmd.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesOutlook Expressmsimn.exe
E:Programmes (comprimés ou non)Anti-spywareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [ASUS Probe] C:Program FilesASUSProbeAsusProb.exe
O4 - HKLM..Run: [Multimedir KBD] C:PROGRA~1MULTIM~1MMKBD.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK C:WINDOWSsystem32mapiicon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
http://www.live365.com/players/play365.cab
O17 -
HKLMSystemCCSServicesTcpip..{795F4A4C-CFBE-4806-BFA4-935ADB5F0C8C}:
NameServer = 194.119.228.67 193.74.208.135

"JacK [MVP]" a écrit dans le message de
news:

'lut,

Commence par poster le rapport de HijackThis ici.

Il a cependant ses limites pour certains nouveaux Hijackers polymorphes.

Il y a un outil plus complet mais plus complexe : FINDnFIX. Attention :
dangereux si pas une bonne maîtrise.
d/l : http://downloads.subratam.org/FINDnFIX.exe UNIQUEMENT pourOS NT.

Merci.

Je ne vais pas utiliser FINDnFIX car mon pc tourne sous XP sp 1 et non sous
NT.
J'envisage de supprimer VirtualMachine de Microsoft : qu'en pensez-vous ?

Voici le rapport HijackThis :

Logfile of HijackThis v1.98.0
Scan saved at 12:25:33, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesASUSProbeAsusProb.exe
C:PROGRA~1MULTIM~1MMKBD.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSsystem32mapiicon.exe
C:Program FilesMessengermsmsgs.exe
E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe
C:WINDOWSSystem32cmd.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesOutlook Expressmsimn.exe
E:Programmes (comprimés ou non)Anti-spywareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [ASUS Probe] C:Program FilesASUSProbeAsusProb.exe
O4 - HKLM..Run: [Multimedir KBD] C:PROGRA~1MULTIM~1MMKBD.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK C:WINDOWSsystem32mapiicon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
http://www.live365.com/players/play365.cab
O17 -
HKLMSystemCCSServicesTcpip..{795F4A4C-CFBE-4806-BFA4-935ADB5F0C8C}:
NameServer = 194.119.228.67 193.74.208.135

"JacK [MVP]" <jack@nospam.org> a écrit dans le message de
news:u2S6wQmZEHA.1048@tk2msftngp13.phx.gbl...

'lut,

Commence par poster le rapport de HijackThis ici.

Il a cependant ses limites pour certains nouveaux Hijackers polymorphes.

Il y a un outil plus complet mais plus complexe : FINDnFIX. Attention :
dangereux si pas une bonne maîtrise.
d/l : http://downloads.subratam.org/FINDnFIX.exe UNIQUEMENT pourOS NT.

Vous avez filtré cet utilisateur ! Consultez son message

Merci.

Je ne vais pas utiliser FINDnFIX car mon pc tourne sous XP sp 1 et non sous
NT.
J'envisage de supprimer VirtualMachine de Microsoft : qu'en pensez-vous ?

Voici le rapport HijackThis :

Logfile of HijackThis v1.98.0
Scan saved at 12:25:33, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesASUSProbeAsusProb.exe
C:PROGRA~1MULTIM~1MMKBD.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSsystem32mapiicon.exe
C:Program FilesMessengermsmsgs.exe
E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe
C:WINDOWSSystem32cmd.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesOutlook Expressmsimn.exe
E:Programmes (comprimés ou non)Anti-spywareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [ASUS Probe] C:Program FilesASUSProbeAsusProb.exe
O4 - HKLM..Run: [Multimedir KBD] C:PROGRA~1MULTIM~1MMKBD.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK C:WINDOWSsystem32mapiicon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
http://www.live365.com/players/play365.cab
O17 -
HKLMSystemCCSServicesTcpip..{795F4A4C-CFBE-4806-BFA4-935ADB5F0C8C}:
NameServer = 194.119.228.67 193.74.208.135

"JacK [MVP]" a écrit dans le message de
news:

'lut,

Commence par poster le rapport de HijackThis ici.

Il a cependant ses limites pour certains nouveaux Hijackers polymorphes.

Il y a un outil plus complet mais plus complexe : FINDnFIX. Attention :
dangereux si pas une bonne maîtrise.
d/l : http://downloads.subratam.org/FINDnFIX.exe UNIQUEMENT pourOS NT.

JacK [MVP]

10/07/2004 à 13:04

sur les news:
User <vpsimon(supprimerceci)@hotmail.com> signalait:

Merci.

Je ne vais pas utiliser FINDnFIX car mon pc tourne sous XP sp 1 et
non sous NT.

C'est un OS NT ;)

J'envisage de supprimer VirtualMachine de Microsoft : qu'en
pensez-vous ?

Que ce n'est pas évident ;)

Tu peux la désactiver et utiliser celle de SUN si tu préfères.

Il faut fermer IE et OE pour faire le rapport.

Quelle est la page de démarrage ?

Voici le rapport HijackThis :

Logfile of HijackThis v1.98.0
Scan saved at 12:25:33, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:Program FilesFichiers communsRealUpdate_OBrealsched.exe SUPPRIME
C:WINDOWSSystem32ctfmon.exe
E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe Pas faire
tourner HijackThis et CWShredder en même temps !
C:WINDOWSSystem32cmd.exe
C:Program FilesInternet Exploreriexplore.exe voir plus haut
C:Program FilesOutlook Expressmsimn.exe id
E:Programmes (comprimés ou non)Anti-spywareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet
ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus -
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton
SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers
communsSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [ASUS Probe] C:Program
FilesASUSProbeAsusProb.exe
O4 - HKLM..Run: [Multimedir KBD] C:PROGRA~1MULTIM~1MMKBD.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot SUPPRIME
O4 - HKLM..Run: [QuickTime Task] "C:Program SUPPRIME
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe SUPPRIME
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK > C:WINDOWSsystem32mapiicon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player
Class) - http://www.live365.com/players/play365.cab
O17 -
HKLMSystemCCSServicesTcpip..{795F4A4C-CFBE-4806-BFA4-935ADB5F0C8C}:
NameServer = 194.119.228.67 193.74.208.135

Aucun BHO nuisible, mais des trucs inutiles au démarrage.

Refais le rapport sans IE/OE ouverts mais il faudra certainement utiliser
autre chose.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

sur les news:eKILymmZEHA.1248@TK2MSFTNGP11.phx.gbl
User <vpsimon(supprimerceci)@hotmail.com> signalait:

Merci.

Je ne vais pas utiliser FINDnFIX car mon pc tourne sous XP sp 1 et
non sous NT.

C'est un OS NT ;)

J'envisage de supprimer VirtualMachine de Microsoft : qu'en
pensez-vous ?

Que ce n'est pas évident ;)

Tu peux la désactiver et utiliser celle de SUN si tu préfères.

Il faut fermer IE et OE pour faire le rapport.

Quelle est la page de démarrage ?

Voici le rapport HijackThis :

Logfile of HijackThis v1.98.0
Scan saved at 12:25:33, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:Program FilesFichiers communsRealUpdate_OBrealsched.exe SUPPRIME
C:WINDOWSSystem32ctfmon.exe
E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe Pas faire
tourner HijackThis et CWShredder en même temps !
C:WINDOWSSystem32cmd.exe
C:Program FilesInternet Exploreriexplore.exe voir plus haut
C:Program FilesOutlook Expressmsimn.exe id
E:Programmes (comprimés ou non)Anti-spywareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet
ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus -
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton
SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers
communsSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [ASUS Probe] C:Program
FilesASUSProbeAsusProb.exe
O4 - HKLM..Run: [Multimedir KBD] C:PROGRA~1MULTIM~1MMKBD.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot SUPPRIME
O4 - HKLM..Run: [QuickTime Task] "C:Program SUPPRIME
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe SUPPRIME
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK > C:WINDOWSsystem32mapiicon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player
Class) - http://www.live365.com/players/play365.cab
O17 -
HKLMSystemCCSServicesTcpip..{795F4A4C-CFBE-4806-BFA4-935ADB5F0C8C}:
NameServer = 194.119.228.67 193.74.208.135

Aucun BHO nuisible, mais des trucs inutiles au démarrage.

Refais le rapport sans IE/OE ouverts mais il faudra certainement utiliser
autre chose.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

Vous avez filtré cet utilisateur ! Consultez son message

sur les news:
User <vpsimon(supprimerceci)@hotmail.com> signalait:

Merci.

Je ne vais pas utiliser FINDnFIX car mon pc tourne sous XP sp 1 et
non sous NT.

C'est un OS NT ;)

J'envisage de supprimer VirtualMachine de Microsoft : qu'en
pensez-vous ?

Que ce n'est pas évident ;)

Tu peux la désactiver et utiliser celle de SUN si tu préfères.

Il faut fermer IE et OE pour faire le rapport.

Quelle est la page de démarrage ?

Voici le rapport HijackThis :

Logfile of HijackThis v1.98.0
Scan saved at 12:25:33, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:Program FilesFichiers communsRealUpdate_OBrealsched.exe SUPPRIME
C:WINDOWSSystem32ctfmon.exe
E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe Pas faire
tourner HijackThis et CWShredder en même temps !
C:WINDOWSSystem32cmd.exe
C:Program FilesInternet Exploreriexplore.exe voir plus haut
C:Program FilesOutlook Expressmsimn.exe id
E:Programmes (comprimés ou non)Anti-spywareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet
ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus -
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton
SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers
communsSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [ASUS Probe] C:Program
FilesASUSProbeAsusProb.exe
O4 - HKLM..Run: [Multimedir KBD] C:PROGRA~1MULTIM~1MMKBD.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot SUPPRIME
O4 - HKLM..Run: [QuickTime Task] "C:Program SUPPRIME
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe SUPPRIME
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK > C:WINDOWSsystem32mapiicon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player
Class) - http://www.live365.com/players/play365.cab
O17 -
HKLMSystemCCSServicesTcpip..{795F4A4C-CFBE-4806-BFA4-935ADB5F0C8C}:
NameServer = 194.119.228.67 193.74.208.135

Aucun BHO nuisible, mais des trucs inutiles au démarrage.

Refais le rapport sans IE/OE ouverts mais il faudra certainement utiliser
autre chose.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

User

10/07/2004 à 13:19

"JacK [MVP]" a écrit dans le message de
news:

sur les news:
User <vpsimon(supprimerceci)@hotmail.com> signalait:
Merci.

Je ne vais pas utiliser FINDnFIX car mon pc tourne sous XP sp 1 et
non sous NT.

C'est un OS NT ;)

J'envisage de supprimer VirtualMachine de Microsoft : qu'en
pensez-vous ?

Que ce n'est pas évident ;)

Tu peux la désactiver et utiliser celle de SUN si tu préfères.

Refais le rapport sans IE/OE ouverts mais il faudra certainement utiliser
autre chose.

Merci.

JVM est mis à jour semble-t-il : version 5.00.3810.
Est-ce encore bien utile de supprimer JVM ?

Je vais essayer donc FINDnFIX.

Voici le rapport (IE et OE fermés) de HijackThis :

Logfile of HijackThis v1.98.0
Scan saved at 13:14:59, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesASUSProbeAsusProb.exe
C:PROGRA~1MULTIM~1MMKBD.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSsystem32mapiicon.exe
C:Program FilesMessengermsmsgs.exe
E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe
C:WINDOWSSystem32cmd.exe
C:WINDOWSSystem32taskmgr.exe
E:Programmes (comprimés ou non)Anti-spywareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [ASUS Probe] C:Program FilesASUSProbeAsusProb.exe
O4 - HKLM..Run: [Multimedir KBD] C:PROGRA~1MULTIM~1MMKBD.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK C:WINDOWSsystem32mapiicon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
http://www.live365.com/players/play365.cab

"JacK [MVP]" <jack@nospam.org> a écrit dans le message de
news:OwJqo2mZEHA.2840@TK2MSFTNGP11.phx.gbl...

sur les news:eKILymmZEHA.1248@TK2MSFTNGP11.phx.gbl
User <vpsimon(supprimerceci)@hotmail.com> signalait:

Merci.

Je ne vais pas utiliser FINDnFIX car mon pc tourne sous XP sp 1 et
non sous NT.

C'est un OS NT ;)

J'envisage de supprimer VirtualMachine de Microsoft : qu'en
pensez-vous ?

Que ce n'est pas évident ;)

Tu peux la désactiver et utiliser celle de SUN si tu préfères.

Refais le rapport sans IE/OE ouverts mais il faudra certainement utiliser
autre chose.

Merci.

JVM est mis à jour semble-t-il : version 5.00.3810.
Est-ce encore bien utile de supprimer JVM ?

Je vais essayer donc FINDnFIX.

Voici le rapport (IE et OE fermés) de HijackThis :

Logfile of HijackThis v1.98.0
Scan saved at 13:14:59, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesASUSProbeAsusProb.exe
C:PROGRA~1MULTIM~1MMKBD.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSsystem32mapiicon.exe
C:Program FilesMessengermsmsgs.exe
E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe
C:WINDOWSSystem32cmd.exe
C:WINDOWSSystem32taskmgr.exe
E:Programmes (comprimés ou non)Anti-spywareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [ASUS Probe] C:Program FilesASUSProbeAsusProb.exe
O4 - HKLM..Run: [Multimedir KBD] C:PROGRA~1MULTIM~1MMKBD.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK C:WINDOWSsystem32mapiicon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
http://www.live365.com/players/play365.cab

Vous avez filtré cet utilisateur ! Consultez son message

"JacK [MVP]" a écrit dans le message de
news:

sur les news:
User <vpsimon(supprimerceci)@hotmail.com> signalait:
Merci.

Je ne vais pas utiliser FINDnFIX car mon pc tourne sous XP sp 1 et
non sous NT.

C'est un OS NT ;)

J'envisage de supprimer VirtualMachine de Microsoft : qu'en
pensez-vous ?

Que ce n'est pas évident ;)

Tu peux la désactiver et utiliser celle de SUN si tu préfères.

Refais le rapport sans IE/OE ouverts mais il faudra certainement utiliser
autre chose.

Merci.

JVM est mis à jour semble-t-il : version 5.00.3810.
Est-ce encore bien utile de supprimer JVM ?

Je vais essayer donc FINDnFIX.

Voici le rapport (IE et OE fermés) de HijackThis :

Logfile of HijackThis v1.98.0
Scan saved at 13:14:59, on 10/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesASUSProbeAsusProb.exe
C:PROGRA~1MULTIM~1MMKBD.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSsystem32mapiicon.exe
C:Program FilesMessengermsmsgs.exe
E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe
C:WINDOWSSystem32cmd.exe
C:WINDOWSSystem32taskmgr.exe
E:Programmes (comprimés ou non)Anti-spywareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [ASUS Probe] C:Program FilesASUSProbeAsusProb.exe
O4 - HKLM..Run: [Multimedir KBD] C:PROGRA~1MULTIM~1MMKBD.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK C:WINDOWSsystem32mapiicon.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
http://www.live365.com/players/play365.cab

JacK [MVP]

10/07/2004 à 14:40

sur les news:Om20T$
User <vpsimon(supprimerceci)@hotmail.com> signalait:

JVM est mis à jour semble-t-il : version 5.00.3810.
Est-ce encore bien utile de supprimer JVM ?
Il n'a jamais été utile de supprimer MSJVM, éventiuellement désactiver si tu

utiises celle de SUN.

*La Page affichée par le Hijacker, c'est quoi ? (BIS)*

Je vais essayer donc FINDnFIX.

Attention : pas simple à utiliser. Vois d'abord avec BHODemon

Voici le rapport (IE et OE fermés) de HijackThis :

C:Program FilesFichiers communsRealUpdate_OBrealsched.exe SUPPRIME

E:Programmes (comprimés ou non)Anti-spywareCWShredder.exe NE PAS FAIRE
TOURNER EN MEME TEMPS QU'HIJACKTHIS (BIS)
C:WINDOWSSystem32cmd.exe Pourquoi tourne-t-il ?
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot SUPPRIME
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime SUPPRIME
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe SUPPRIME
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/12782582fd54fa17f819/netzip/RdxIE601_fr.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player
Class) - http://www.live365.com/players/play365.cab
Pas de Hijackers apparents avec HT

--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

User

10/07/2004 à 15:38

"JacK [MVP]" a écrit dans le message de
news:OG$

sur les news:Om20T$
User <vpsimon(supprimerceci)@hotmail.com> signalait:

JVM est mis à jour semble-t-il : version 5.00.3810.
Est-ce encore bien utile de supprimer JVM ?
Il n'a jamais été utile de supprimer MSJVM, éventiuellement désactiver si

tu

utiises celle de SUN.

Ok, pour l'instant je ne supprime pas.

*La Page affichée par le Hijacker, c'est quoi ? (BIS)*

Désolé pour le bis. La page est du style "about blank" - une sorte de page
de recherche "seek" en anglais (sp.html)

Je vais essayer donc FINDnFIX.

Attention : pas simple à utiliser. Vois d'abord avec BHODemon

Auriez-vous un lien pour BHODemon ?

C'est vrai que FINDnFIX, ce n'est pas simple. J'ai un rapport qui me parle
d'un fichier SQLKA.DLL et d'un autre DLLXXX.TXT, que la fonction de
recherche de windows (y compris dans fichiers et dossiers cachés) ne trouve
pas. Voici un extrait :

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...

C:WINDOWSSystem32SQLKA.DLL +++ File read error
?C:WINDOWSSystem32SQLKA.DLL +++ File read error

»»»»» (*2*) »»»»»........
**File C:FINDnFIXLIST.TXT
SQLKA.DLL Can't Open!

»»»»» (*3*) »»»»»........

C:WINDOWSSYSTEM32
sqlka.dll Sun 27 Jun 2004 18:10:42 A...R 57.344 56,00
K

1 item found: 1 file, 0 directories.
Total of file sizes: 57.344 bytes 56,00 K

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Sniffed -> C:WINDOWSSYSTEM32SQLKA.DLL

»»»»»(*5*)»»»»»
**File C:WINDOWSSYSTEM32DLLXXX.TXT
¯ Access denied ® ..................... SQLKA.DLL .....57344
27.06.2004

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...

C:WINDOWSSYSTEM32
sqlka.dll Sun 27 Jun 2004 18:10:42 A...R 57.344 56,00
K

1 item found: 1 file, 0 directories.
Total of file sizes: 57.344 bytes 56,00 K

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Sniffed -> C:WINDOWSSYSTEM32SQLKA.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

"JacK [MVP]" <jack@nospam.org> a écrit dans le message de
news:OG$MXsnZEHA.3228@TK2MSFTNGP12.phx.gbl...

sur les news:Om20T$mZEHA.3460@TK2MSFTNGP10.phx.gbl
User <vpsimon(supprimerceci)@hotmail.com> signalait:

JVM est mis à jour semble-t-il : version 5.00.3810.
Est-ce encore bien utile de supprimer JVM ?
Il n'a jamais été utile de supprimer MSJVM, éventiuellement désactiver si

tu

utiises celle de SUN.

Ok, pour l'instant je ne supprime pas.

*La Page affichée par le Hijacker, c'est quoi ? (BIS)*

Désolé pour le bis. La page est du style "about blank" - une sorte de page
de recherche "seek" en anglais (sp.html)

Je vais essayer donc FINDnFIX.

Attention : pas simple à utiliser. Vois d'abord avec BHODemon

Auriez-vous un lien pour BHODemon ?

C'est vrai que FINDnFIX, ce n'est pas simple. J'ai un rapport qui me parle
d'un fichier SQLKA.DLL et d'un autre DLLXXX.TXT, que la fonction de
recherche de windows (y compris dans fichiers et dossiers cachés) ne trouve
pas. Voici un extrait :

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...

C:WINDOWSSystem32SQLKA.DLL +++ File read error
\?C:WINDOWSSystem32SQLKA.DLL +++ File read error

»»»»» (*2*) »»»»»........
**File C:FINDnFIXLIST.TXT
SQLKA.DLL Can't Open!

»»»»» (*3*) »»»»»........

C:WINDOWSSYSTEM32
sqlka.dll Sun 27 Jun 2004 18:10:42 A...R 57.344 56,00
K

1 item found: 1 file, 0 directories.
Total of file sizes: 57.344 bytes 56,00 K

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Sniffed -> C:WINDOWSSYSTEM32SQLKA.DLL

»»»»»(*5*)»»»»»
**File C:WINDOWSSYSTEM32DLLXXX.TXT
¯ Access denied ® ..................... SQLKA.DLL .....57344
27.06.2004

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...

C:WINDOWSSYSTEM32
sqlka.dll Sun 27 Jun 2004 18:10:42 A...R 57.344 56,00
K

1 item found: 1 file, 0 directories.
Total of file sizes: 57.344 bytes 56,00 K

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Sniffed -> C:WINDOWSSYSTEM32SQLKA.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Vous avez filtré cet utilisateur ! Consultez son message

"JacK [MVP]" a écrit dans le message de
news:OG$

sur les news:Om20T$
User <vpsimon(supprimerceci)@hotmail.com> signalait:

JVM est mis à jour semble-t-il : version 5.00.3810.
Est-ce encore bien utile de supprimer JVM ?
Il n'a jamais été utile de supprimer MSJVM, éventiuellement désactiver si

tu

utiises celle de SUN.

Ok, pour l'instant je ne supprime pas.

*La Page affichée par le Hijacker, c'est quoi ? (BIS)*

Désolé pour le bis. La page est du style "about blank" - une sorte de page
de recherche "seek" en anglais (sp.html)

Je vais essayer donc FINDnFIX.

Attention : pas simple à utiliser. Vois d'abord avec BHODemon

Auriez-vous un lien pour BHODemon ?

C'est vrai que FINDnFIX, ce n'est pas simple. J'ai un rapport qui me parle
d'un fichier SQLKA.DLL et d'un autre DLLXXX.TXT, que la fonction de
recherche de windows (y compris dans fichiers et dossiers cachés) ne trouve
pas. Voici un extrait :

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...

C:WINDOWSSystem32SQLKA.DLL +++ File read error
?C:WINDOWSSystem32SQLKA.DLL +++ File read error

»»»»» (*2*) »»»»»........
**File C:FINDnFIXLIST.TXT
SQLKA.DLL Can't Open!

»»»»» (*3*) »»»»»........

C:WINDOWSSYSTEM32
sqlka.dll Sun 27 Jun 2004 18:10:42 A...R 57.344 56,00
K

1 item found: 1 file, 0 directories.
Total of file sizes: 57.344 bytes 56,00 K

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Sniffed -> C:WINDOWSSYSTEM32SQLKA.DLL

»»»»»(*5*)»»»»»
**File C:WINDOWSSYSTEM32DLLXXX.TXT
¯ Access denied ® ..................... SQLKA.DLL .....57344
27.06.2004

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...

C:WINDOWSSYSTEM32
sqlka.dll Sun 27 Jun 2004 18:10:42 A...R 57.344 56,00
K

1 item found: 1 file, 0 directories.
Total of file sizes: 57.344 bytes 56,00 K

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Sniffed -> C:WINDOWSSYSTEM32SQLKA.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992,
21:09:15.

JacK [MVP]

10/07/2004 à 16:44

sur les news:%
User <vpsimon(supprimerceci)@hotmail.com> signalait:

"JacK [MVP]" a écrit dans le message de
news:OG$
sur les news:Om20T$
User <vpsimon(supprimerceci)@hotmail.com> signalait:

JVM est mis à jour semble-t-il : version 5.00.3810.
Est-ce encore bien utile de supprimer JVM ?
Il n'a jamais été utile de supprimer MSJVM, éventiuellement

désactiver si
tu

utiises celle de SUN.

Ok, pour l'instant je ne supprime pas.

*La Page affichée par le Hijacker, c'est quoi ? (BIS)*

Désolé pour le bis. La page est du style "about blank" - une sorte de
page de recherche "seek" en anglais (sp.html)

'lut,

Exécute ceci :
http://www.trojaner-info.de/files/SpHjfix.exe

D'autres outils utiles :

BHODemon http://www.majorgeeks.com/download3550.html

About Buster : http://www.majorgeeks.com/download4289.html
HS Remover http://www.majorgeeks.com/download4286.html

Quant à FINDnFIX, en dernier recours et il vaut mieux connaître le modus
operandi et pas cliquer sur n'importe quoi dans son répertoire ;)

--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

User

11/07/2004 à 11:40

Merci pour les tuyaux.
Je conserve précieusement les infos.
Il me semble que le problème est (provisoirement ?) résolu sans avoir
exécuté les outils renseignés ci-dessous. A force d'avoir fait tourner
Adaware et Spybot ?
J'exécute toutefois dès que possible les outils renseignés.
Je ferai rapport ultérieurement.

"JacK [MVP]" a écrit dans le message de
news:%23$

'lut,

Exécute ceci :
http://www.trojaner-info.de/files/SpHjfix.exe

D'autres outils utiles :

BHODemon http://www.majorgeeks.com/download3550.html

About Buster : http://www.majorgeeks.com/download4289.html
HS Remover http://www.majorgeeks.com/download4286.html

Quant à FINDnFIX, en dernier recours et il vaut mieux connaître le modus
operandi et pas cliquer sur n'importe quoi dans son répertoire ;)

GLB1A2B.exe et sp.htm dans répertoires Temp

8 réponses

Veuillez sélectionner un problème