Microsoft Antispyware Béta 1

9 réponses

isilay

25/05/2005 à 19:41

Bonjour,

A chaque scan "Possible browser hijack (Browser Modifier) est détécté. Je
supprime mais il revient toujours.Avez vous une solution pour l'éradiquer
définitivement?Je me permets de vous poster mon hijackthis.log en espérant
qu'il serait utile pour voir le problème.
Merci d avance pour vos aides.
Cordialement.

Isilay

Logfile of HijackThis v1.99.1
Scan saved at 18:55:12, on 25.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\PopTray\PopTray.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Fichiers communs\ACD Systems\acdseesharesvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\PROGRA~1\SYSTRAN\5.0\Personal\SYSTRA~1.EXE
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Isilay\Mes documents\install\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.montreux.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.montreux.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: XNetIEObj Class - {1808648B-3102-4293-8AD3-06AF71D3321B} - (no
file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program
Files\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} -
C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: Systran50perso.IEPlugIn -
{A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Program
Files\SYSTRAN\5.0\Personal\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program
Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ISUSPM Startup]
C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers
communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active
Monitor\imontray.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe"
/WAITSERVICE
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers
communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais -
res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber
Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program
Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Pages liées - res://C:\Program
Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program
Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program
Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program
Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program
Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Traduire cette page -
C:\WINDOWS\web\powertoy.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le
cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} -
file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire -
{320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber
Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} -
file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire -
{320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber
Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} -
file://C:\Program Files\Siber Systems\AI
RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm -
{724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber
Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: Yahoo! Bridge -
http://download.games.yahoo.com/games/clients/y/bt1_x.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software
AutoUpdate) - http://www.creative.com/su/ocx/15012/CTSUEng.cab
O16 - DPF: {15589FA1-C456-11CE-BF01-000000000000} -
http://www.errornuker.com/products/errn2004/installers/default/ErrorNukerInstaller.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1E8E209A-6120-4EF1-B0B6-A65191D905B9} (CInstallManager Class) -
http://www.stream-it.bluewin.ch/Installs/InstallManager.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13}
(PPSDKActiveXScanner.MainScreen) -
http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) -
https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} -
http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100677866171
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection
Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) -
http://download.zonelabs.com/bin/promotions/spywaredetector/WebSWK.cab
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware
Scanner) -
http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab
O16 - DPF: {AF087E66-838E-4A97-8A0B-0DDDA5DEA239} (OTAutoInstall Class) -
https://streaming.endeavors.com/microsoft/encarta_rl/clientdownloads/OTAI.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://zone.msn.com/binFramework/v10/ZIntro.cab33902.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} -
http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -
http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4432/mcfscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software
AutoUpdate Support Package) - http://www.creative.com/su/ocx/15012/CTPID.cab
O23 - Service: ACDSee Share - Unknown owner - C:\Program Files\Fichiers
communs\ACD Systems\acdseesharesvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON
CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program
Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. -
C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program
Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program
Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program
Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -
Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
C:\WINDOWS\system32\ZoneLabs\vsmon.exe

9 réponses

Claude LaFrenière

25/05/2005 à 19:59

Bonjour *isilay* :

Bonjour,

A chaque scan "Possible browser hijack (Browser Modifier) est détécté. Je
supprime mais il revient toujours.Avez vous une solution pour l'éradiquer
définitivement?Je me permets de vous poster mon hijackthis.log en espérant
qu'il serait utile pour voir le problème.
Merci d avance pour vos aides.
Cordialement.

Isilay

Réponses "grosso modo"...(donc incomplète.)

Je laisse le plaisir aux amateurs de trucs de sécurité...
Dac ?

Logfile of HijackThis v1.99.1
Scan saved at 18:55:12, on 25.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe

premier svchost...ok

C:WINDOWSsystem32svchost.exe

deuxième svchost.. ok

C:WINDOWSSystem32svchost.exe

Si tu n'imprime pas constamment pourquoi pas mettre ce service en manuel ?

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

PF ok

C:Program FilesZone LabsZoneAlarmzlclient.exe

souris ok

C:Program FilesLogitechiTouchiTouch.exe

C'est quoi ce truc ?

C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe

C'est quoi ce truc ? ce qui vient après le rundll32 est la partie la plus
importante .
Je la vois pas ... 8-(

C:WINDOWSsystem32RUNDLL32.EXE

C:Program FilesIntelIntel(R) Active Monitorimontray.exe

AV ? ok

C:Program FilesEsetnod32kui.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe

Mise à jour de Real Player : besoin de ça ? tout le temps ?

C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe

Un autre rundll32 : même remarque que pour l'autre...

C:WINDOWSsystem32rundll32.exe

C:Program FilesPopTrayPopTray.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe

Quoi ça ?

C:Program FilesFichiers communsACD Systemsacdseesharesvc.exe

Quoi ça ?

C:Program FilesFichiers communsEPSONEBAPISAgent2.exe

Pas besoin de ça : débogueur à la noix d'Office ...

C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe

AV... ok

C:Program FilesEsetnod32krn.exe

C'esy quoi ?

C:WINDOWSsystem32nvsvc32.exe

Pas besoin de ç`:

C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

svchost 3 ième ... ok

C:WINDOWSSystem32svchost.exe

C:Program FilesUPHCleanuphclean.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSsystem32MsPMSPSv.exe
C:Program FilesIntelIntel(R) Active Monitorimonnt.exe
C:PROGRA~1SYSTRAN5.0PersonalSYSTRA~1.EXE
C:WINDOWSsystem32LVComsX.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsIsilayMes documentsinstallHijackThis.exe

Pas ça le prétendu Browser Hijack ???? <<<===

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.montreux.ch/

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page > R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page > R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: XNetIEObj Class - {1808648B-3102-4293-8AD3-06AF71D3321B} - (no
file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:Program
FilesSiber SystemsAI RoboFormRoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} -
C:Program FilesSiber SystemsAI RoboFormRoboForm.dll
O3 - Toolbar: Systran50perso.IEPlugIn -
{A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:Program
FilesSYSTRAN5.0PersonalIEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone
LabsZoneAlarmzlclient.exe

Nvidia Hleper : vire ça : inutile.

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [zBrowser Launcher] C:Program
FilesLogitechiTouchiTouch.exe

etc.

Des trucs en trop mais rien de bien malin à première vue...

Voyons ce que d'autres diront....

:)

--
Claude LaFrenière [MVP] :-)

Articles sur W xp et autre... Communautés Microsoft
http://climenole.serendipia.net/ http://communautes-ms.akro-net.org

« My Principal Design was to Inform, Not To Amuse Thee. »
Lemuel Gulliver { attribué au Rév. Jonathan Swift ;-) }

Bonjour *isilay* :

Bonjour,

A chaque scan "Possible browser hijack (Browser Modifier) est détécté. Je
supprime mais il revient toujours.Avez vous une solution pour l'éradiquer
définitivement?Je me permets de vous poster mon hijackthis.log en espérant
qu'il serait utile pour voir le problème.
Merci d avance pour vos aides.
Cordialement.

Isilay

Réponses "grosso modo"...(donc incomplète.)

Je laisse le plaisir aux amateurs de trucs de sécurité...
Dac ?

Logfile of HijackThis v1.99.1
Scan saved at 18:55:12, on 25.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe

premier svchost...ok

C:WINDOWSsystem32svchost.exe

deuxième svchost.. ok

C:WINDOWSSystem32svchost.exe

Si tu n'imprime pas constamment pourquoi pas mettre ce service en manuel ?

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

PF ok

C:Program FilesZone LabsZoneAlarmzlclient.exe

souris ok

C:Program FilesLogitechiTouchiTouch.exe

C'est quoi ce truc ?

C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe

C'est quoi ce truc ? ce qui vient après le rundll32 est la partie la plus
importante .
Je la vois pas ... 8-(

C:WINDOWSsystem32RUNDLL32.EXE

C:Program FilesIntelIntel(R) Active Monitorimontray.exe

AV ? ok

C:Program FilesEsetnod32kui.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe

Mise à jour de Real Player : besoin de ça ? tout le temps ?

C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe

Un autre rundll32 : même remarque que pour l'autre...

C:WINDOWSsystem32rundll32.exe

C:Program FilesPopTrayPopTray.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe

Quoi ça ?

C:Program FilesFichiers communsACD Systemsacdseesharesvc.exe

Quoi ça ?

C:Program FilesFichiers communsEPSONEBAPISAgent2.exe

Pas besoin de ça : débogueur à la noix d'Office ...

C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe

AV... ok

C:Program FilesEsetnod32krn.exe

C'esy quoi ?

C:WINDOWSsystem32nvsvc32.exe

Pas besoin de ç`:

C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

svchost 3 ième ... ok

C:WINDOWSSystem32svchost.exe

C:Program FilesUPHCleanuphclean.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSsystem32MsPMSPSv.exe
C:Program FilesIntelIntel(R) Active Monitorimonnt.exe
C:PROGRA~1SYSTRAN5.0PersonalSYSTRA~1.EXE
C:WINDOWSsystem32LVComsX.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsIsilayMes documentsinstallHijackThis.exe

Pas ça le prétendu Browser Hijack ???? <<<===

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.montreux.ch/

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page > R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page > R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: XNetIEObj Class - {1808648B-3102-4293-8AD3-06AF71D3321B} - (no
file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:Program
FilesSiber SystemsAI RoboFormRoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} -
C:Program FilesSiber SystemsAI RoboFormRoboForm.dll
O3 - Toolbar: Systran50perso.IEPlugIn -
{A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:Program
FilesSYSTRAN5.0PersonalIEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone
LabsZoneAlarmzlclient.exe

Nvidia Hleper : vire ça : inutile.

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [zBrowser Launcher] C:Program
FilesLogitechiTouchiTouch.exe

Vous avez filtré cet utilisateur ! Consultez son message

Bonjour *isilay* :

Bonjour,

A chaque scan "Possible browser hijack (Browser Modifier) est détécté. Je
supprime mais il revient toujours.Avez vous une solution pour l'éradiquer
définitivement?Je me permets de vous poster mon hijackthis.log en espérant
qu'il serait utile pour voir le problème.
Merci d avance pour vos aides.
Cordialement.

Isilay

Réponses "grosso modo"...(donc incomplète.)

Je laisse le plaisir aux amateurs de trucs de sécurité...
Dac ?

Logfile of HijackThis v1.99.1
Scan saved at 18:55:12, on 25.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe

premier svchost...ok

C:WINDOWSsystem32svchost.exe

deuxième svchost.. ok

C:WINDOWSSystem32svchost.exe

Si tu n'imprime pas constamment pourquoi pas mettre ce service en manuel ?

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

PF ok

C:Program FilesZone LabsZoneAlarmzlclient.exe

souris ok

C:Program FilesLogitechiTouchiTouch.exe

C'est quoi ce truc ?

C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe

C'est quoi ce truc ? ce qui vient après le rundll32 est la partie la plus
importante .
Je la vois pas ... 8-(

C:WINDOWSsystem32RUNDLL32.EXE

C:Program FilesIntelIntel(R) Active Monitorimontray.exe

AV ? ok

C:Program FilesEsetnod32kui.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe

Mise à jour de Real Player : besoin de ça ? tout le temps ?

C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe

Un autre rundll32 : même remarque que pour l'autre...

C:WINDOWSsystem32rundll32.exe

C:Program FilesPopTrayPopTray.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe

Quoi ça ?

C:Program FilesFichiers communsACD Systemsacdseesharesvc.exe

Quoi ça ?

C:Program FilesFichiers communsEPSONEBAPISAgent2.exe

Pas besoin de ça : débogueur à la noix d'Office ...

C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe

AV... ok

C:Program FilesEsetnod32krn.exe

C'esy quoi ?

C:WINDOWSsystem32nvsvc32.exe

Pas besoin de ç`:

C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

svchost 3 ième ... ok

C:WINDOWSSystem32svchost.exe

C:Program FilesUPHCleanuphclean.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSsystem32MsPMSPSv.exe
C:Program FilesIntelIntel(R) Active Monitorimonnt.exe
C:PROGRA~1SYSTRAN5.0PersonalSYSTRA~1.EXE
C:WINDOWSsystem32LVComsX.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsIsilayMes documentsinstallHijackThis.exe

Pas ça le prétendu Browser Hijack ???? <<<===

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.montreux.ch/

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page > R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page > R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: XNetIEObj Class - {1808648B-3102-4293-8AD3-06AF71D3321B} - (no
file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:Program
FilesSiber SystemsAI RoboFormRoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} -
C:Program FilesSiber SystemsAI RoboFormRoboForm.dll
O3 - Toolbar: Systran50perso.IEPlugIn -
{A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:Program
FilesSYSTRAN5.0PersonalIEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone
LabsZoneAlarmzlclient.exe

Nvidia Hleper : vire ça : inutile.

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [zBrowser Launcher] C:Program
FilesLogitechiTouchiTouch.exe

Jacques93

25/05/2005 à 20:35

Bonsoir Claude LaFrenière,

[...]

Si tu n'imprime pas constamment pourquoi pas mettre ce service en manuel ?

C:WINDOWSsystem32spoolsv.exe

Juste un petit bémol, même sans imprimer, Mise en Page et Aperçu avant
impression (dans Office notamment) nécessitent qu'au moins une
imprimante soit installée, ce qui est logique. Si ce service n'est pas
démarré, on a un joli message comme quoi aucune imprimante n'est
installée, avec la marche à suivre pour en installer une :

Imprimantes et Télécopieur => Ajouter une Imprimante

Mais si ledit service n'est pas démarré aucune imprimante n'est visible,
et le choix Ajouter une imprimante non plus, la fenêtre est vide. Ce qui
peu être un peu pertubant car le message ne parle pas de ce service,
mais dirige plutôt vers l'adminitrateur réseau ....

Il faut donc faire cela en toute connaissance de cause. Mais c'est juste
un avis personnel. ;-)

Eexemple de message affiché par Excel 2003 sous XP SP2 :
======================================================================== Cette erreur peut se produire lorsque vous n'avez pas désigné
d'imprimante par défaut ou lorsque l'application ne parvient pas à
localiser l'imprimante par défaut qu'elle doit utiliser. Vous pourrez
probablement résoudre ce problème grâce à l'une des suggestions suivantes :
Si une imprimante n'est pas disponible dans la fenêtre Imprimantes et
télécopieurs, ajoutez-la (pour Windows 2000, cliquez sur Démarrer,
pointez sur Paramètres puis cliquez sur Imprimantes)
Si l'application ne parvient pas à trouver une imprimante déjà
installée, sélectionnez l'imprimante dans la fenêtre Imprimantes et
télécopieurs (pour Windows 2000, sélectionnez l'imprimante dans la
fenêtre Imprimantes) et définissez-la comme imprimante par défaut.
Si une imprimante par défaut est installée, mais que l'application ne
parvient pas à l'utiliser, mettez à jour le pilote de l'imprimante
(désinstallation de l'ancien pilote obligatoire).
Si l'imprimante est connectée à un serveur d'impression, vérifiez, d'une
part, que l'imprimante est disponible, que ses réserves en papier sont
suffisantes et qu'elle n'a pas été mise hors ligne par l'administrateur,
et, d'autre part, que le réseau fonctionne et que le serveur n'est pas
bloqué.
L'administrateur de votre réseau local est le mieux placé pour résoudre
des problèmes d'impression liés à une imprimante sur réseau.
Pour accéder à l'utilitaire de résolution des problèmes d'impression
intégré à l'aide de Windows XP, cliquez sur Démarrer, cliquez sur Aide
et support, cliquez sur Impression et télécopie, cliquez sur Résolution
d'un problème d'impression dans la liste Impression et télécopie. Dans
la rubrique Résolution d'un problème d'impression, sélectionnez
Résolution des problèmes d'impression.
Pour accéder à l'utilitaire de résolution des problèmes d'impression
intégré à l'aide de Windows 2000, cliquez sur Démarrer, cliquez sur
Aide, cliquez sur l'onglet Index, entrez Résolution des problèmes
d'impression dans la zone de texte Entrez le mot clé à rechercher et
appuyez sur ENTRÉE. Dans la liste qui s'affiche alors, sélectionnez
Impression dans la colonne de gauche.
===================================================================== --
Cordialement,

Jacques.

Bonsoir Claude LaFrenière,

[...]

Si tu n'imprime pas constamment pourquoi pas mettre ce service en manuel ?

C:WINDOWSsystem32spoolsv.exe

Vous avez filtré cet utilisateur ! Consultez son message

Bonsoir Claude LaFrenière,

[...]

Si tu n'imprime pas constamment pourquoi pas mettre ce service en manuel ?

C:WINDOWSsystem32spoolsv.exe

Cor Caroli

25/05/2005 à 21:32

Moi, service spoolsv arrêté (mais pas désactivé), ça semble bien
fonctionner.

Bonsoir Claude LaFrenière,

[...]

Si tu n'imprime pas constamment pourquoi pas mettre ce service en
manuel ?

C:WINDOWSsystem32spoolsv.exe

Juste un petit bémol, même sans imprimer, Mise en Page et Aperçu avant
impression (dans Office notamment) nécessitent qu'au moins une
imprimante soit installée, ce qui est logique. Si ce service n'est pas
démarré, on a un joli message comme quoi aucune imprimante n'est
installée, avec la marche à suivre pour en installer une :

Imprimantes et Télécopieur => Ajouter une Imprimante

Mais si ledit service n'est pas démarré aucune imprimante n'est
visible, et le choix Ajouter une imprimante non plus, la fenêtre est
vide. Ce qui peu être un peu pertubant car le message ne parle pas de
ce service, mais dirige plutôt vers l'adminitrateur réseau ....

Il faut donc faire cela en toute connaissance de cause. Mais c'est
juste un avis personnel. ;-)

Eexemple de message affiché par Excel 2003 sous XP SP2 :
======================================================================== > Cette erreur peut se produire lorsque vous n'avez pas désigné
d'imprimante par défaut ou lorsque l'application ne parvient pas à
localiser l'imprimante par défaut qu'elle doit utiliser. Vous pourrez
probablement résoudre ce problème grâce à l'une des suggestions
suivantes :
Si une imprimante n'est pas disponible dans la fenêtre Imprimantes et
télécopieurs, ajoutez-la (pour Windows 2000, cliquez sur Démarrer,
pointez sur Paramètres puis cliquez sur Imprimantes)
Si l'application ne parvient pas à trouver une imprimante déjà
installée, sélectionnez l'imprimante dans la fenêtre Imprimantes et
télécopieurs (pour Windows 2000, sélectionnez l'imprimante dans la
fenêtre Imprimantes) et définissez-la comme imprimante par défaut.
Si une imprimante par défaut est installée, mais que l'application ne
parvient pas à l'utiliser, mettez à jour le pilote de l'imprimante
(désinstallation de l'ancien pilote obligatoire).
Si l'imprimante est connectée à un serveur d'impression, vérifiez,
d'une part, que l'imprimante est disponible, que ses réserves en
papier sont suffisantes et qu'elle n'a pas été mise hors ligne par
l'administrateur, et, d'autre part, que le réseau fonctionne et que le
serveur n'est pas bloqué.
L'administrateur de votre réseau local est le mieux placé pour
résoudre des problèmes d'impression liés à une imprimante sur réseau.
Pour accéder à l'utilitaire de résolution des problèmes d'impression
intégré à l'aide de Windows XP, cliquez sur Démarrer, cliquez sur Aide
et support, cliquez sur Impression et télécopie, cliquez sur
Résolution d'un problème d'impression dans la liste Impression et
télécopie. Dans la rubrique Résolution d'un problème d'impression,
sélectionnez Résolution des problèmes d'impression.
Pour accéder à l'utilitaire de résolution des problèmes d'impression
intégré à l'aide de Windows 2000, cliquez sur Démarrer, cliquez sur
Aide, cliquez sur l'onglet Index, entrez Résolution des problèmes
d'impression dans la zone de texte Entrez le mot clé à rechercher et
appuyez sur ENTRÉE. Dans la liste qui s'affiche alors, sélectionnez
Impression dans la colonne de gauche.
======================================================================

Moi, service spoolsv arrêté (mais pas désactivé), ça semble bien
fonctionner.

Bonsoir Claude LaFrenière,

[...]

Si tu n'imprime pas constamment pourquoi pas mettre ce service en
manuel ?

C:WINDOWSsystem32spoolsv.exe

Juste un petit bémol, même sans imprimer, Mise en Page et Aperçu avant
impression (dans Office notamment) nécessitent qu'au moins une
imprimante soit installée, ce qui est logique. Si ce service n'est pas
démarré, on a un joli message comme quoi aucune imprimante n'est
installée, avec la marche à suivre pour en installer une :

Imprimantes et Télécopieur => Ajouter une Imprimante

Mais si ledit service n'est pas démarré aucune imprimante n'est
visible, et le choix Ajouter une imprimante non plus, la fenêtre est
vide. Ce qui peu être un peu pertubant car le message ne parle pas de
ce service, mais dirige plutôt vers l'adminitrateur réseau ....

Il faut donc faire cela en toute connaissance de cause. Mais c'est
juste un avis personnel. ;-)

Eexemple de message affiché par Excel 2003 sous XP SP2 :
======================================================================== > Cette erreur peut se produire lorsque vous n'avez pas désigné
d'imprimante par défaut ou lorsque l'application ne parvient pas à
localiser l'imprimante par défaut qu'elle doit utiliser. Vous pourrez
probablement résoudre ce problème grâce à l'une des suggestions
suivantes :
Si une imprimante n'est pas disponible dans la fenêtre Imprimantes et
télécopieurs, ajoutez-la (pour Windows 2000, cliquez sur Démarrer,
pointez sur Paramètres puis cliquez sur Imprimantes)
Si l'application ne parvient pas à trouver une imprimante déjà
installée, sélectionnez l'imprimante dans la fenêtre Imprimantes et
télécopieurs (pour Windows 2000, sélectionnez l'imprimante dans la
fenêtre Imprimantes) et définissez-la comme imprimante par défaut.
Si une imprimante par défaut est installée, mais que l'application ne
parvient pas à l'utiliser, mettez à jour le pilote de l'imprimante
(désinstallation de l'ancien pilote obligatoire).
Si l'imprimante est connectée à un serveur d'impression, vérifiez,
d'une part, que l'imprimante est disponible, que ses réserves en
papier sont suffisantes et qu'elle n'a pas été mise hors ligne par
l'administrateur, et, d'autre part, que le réseau fonctionne et que le
serveur n'est pas bloqué.
L'administrateur de votre réseau local est le mieux placé pour
résoudre des problèmes d'impression liés à une imprimante sur réseau.
Pour accéder à l'utilitaire de résolution des problèmes d'impression
intégré à l'aide de Windows XP, cliquez sur Démarrer, cliquez sur Aide
et support, cliquez sur Impression et télécopie, cliquez sur
Résolution d'un problème d'impression dans la liste Impression et
télécopie. Dans la rubrique Résolution d'un problème d'impression,
sélectionnez Résolution des problèmes d'impression.
Pour accéder à l'utilitaire de résolution des problèmes d'impression
intégré à l'aide de Windows 2000, cliquez sur Démarrer, cliquez sur
Aide, cliquez sur l'onglet Index, entrez Résolution des problèmes
d'impression dans la zone de texte Entrez le mot clé à rechercher et
appuyez sur ENTRÉE. Dans la liste qui s'affiche alors, sélectionnez
Impression dans la colonne de gauche.
======================================================================

Vous avez filtré cet utilisateur ! Consultez son message

Moi, service spoolsv arrêté (mais pas désactivé), ça semble bien
fonctionner.

Bonsoir Claude LaFrenière,

[...]

Si tu n'imprime pas constamment pourquoi pas mettre ce service en
manuel ?

C:WINDOWSsystem32spoolsv.exe

Juste un petit bémol, même sans imprimer, Mise en Page et Aperçu avant
impression (dans Office notamment) nécessitent qu'au moins une
imprimante soit installée, ce qui est logique. Si ce service n'est pas
démarré, on a un joli message comme quoi aucune imprimante n'est
installée, avec la marche à suivre pour en installer une :

Imprimantes et Télécopieur => Ajouter une Imprimante

Mais si ledit service n'est pas démarré aucune imprimante n'est
visible, et le choix Ajouter une imprimante non plus, la fenêtre est
vide. Ce qui peu être un peu pertubant car le message ne parle pas de
ce service, mais dirige plutôt vers l'adminitrateur réseau ....

Il faut donc faire cela en toute connaissance de cause. Mais c'est
juste un avis personnel. ;-)

Eexemple de message affiché par Excel 2003 sous XP SP2 :
======================================================================== > Cette erreur peut se produire lorsque vous n'avez pas désigné
d'imprimante par défaut ou lorsque l'application ne parvient pas à
localiser l'imprimante par défaut qu'elle doit utiliser. Vous pourrez
probablement résoudre ce problème grâce à l'une des suggestions
suivantes :
Si une imprimante n'est pas disponible dans la fenêtre Imprimantes et
télécopieurs, ajoutez-la (pour Windows 2000, cliquez sur Démarrer,
pointez sur Paramètres puis cliquez sur Imprimantes)
Si l'application ne parvient pas à trouver une imprimante déjà
installée, sélectionnez l'imprimante dans la fenêtre Imprimantes et
télécopieurs (pour Windows 2000, sélectionnez l'imprimante dans la
fenêtre Imprimantes) et définissez-la comme imprimante par défaut.
Si une imprimante par défaut est installée, mais que l'application ne
parvient pas à l'utiliser, mettez à jour le pilote de l'imprimante
(désinstallation de l'ancien pilote obligatoire).
Si l'imprimante est connectée à un serveur d'impression, vérifiez,
d'une part, que l'imprimante est disponible, que ses réserves en
papier sont suffisantes et qu'elle n'a pas été mise hors ligne par
l'administrateur, et, d'autre part, que le réseau fonctionne et que le
serveur n'est pas bloqué.
L'administrateur de votre réseau local est le mieux placé pour
résoudre des problèmes d'impression liés à une imprimante sur réseau.
Pour accéder à l'utilitaire de résolution des problèmes d'impression
intégré à l'aide de Windows XP, cliquez sur Démarrer, cliquez sur Aide
et support, cliquez sur Impression et télécopie, cliquez sur
Résolution d'un problème d'impression dans la liste Impression et
télécopie. Dans la rubrique Résolution d'un problème d'impression,
sélectionnez Résolution des problèmes d'impression.
Pour accéder à l'utilitaire de résolution des problèmes d'impression
intégré à l'aide de Windows 2000, cliquez sur Démarrer, cliquez sur
Aide, cliquez sur l'onglet Index, entrez Résolution des problèmes
d'impression dans la zone de texte Entrez le mot clé à rechercher et
appuyez sur ENTRÉE. Dans la liste qui s'affiche alors, sélectionnez
Impression dans la colonne de gauche.
======================================================================

Jacques93

25/05/2005 à 22:02

Moi, service spoolsv arrêté (mais pas désactivé), ça semble bien
fonctionner.

Y'a un truc ? ;-)

Service spooler simplement arrêté (laissé en démarrage auto ou manuel)

http://cjoint.com/?fzv4FFIhVf

Résultat, plus d'imprimante, par contre petit mélange avec W2K (sous XP
on a le choix d'ajouter une imprimante) , mais erreur quand même :

http://cjoint.com/?fzwaPfRg4H

Je précise, XP PRO, au cas ou il y aurait une différence avec XP Home.

Si j'ai répondu à Claude LaFrenière sur ce point, c'est que certains
drivers d'imprimantes plante le process spoolsv, sans citer personne,
MS le fait :

http://support.microsoft.com/kb/324757/fr

Et quand on a des config réseaux avec beaucoup d'imprimantes, c'est agaçant.

--
Cordialement,

Jacques.

isilay

25/05/2005 à 22:05

Bonsoir Claude,

Merci. Même vos " grosso modo" me sont très utiles.J'ai fait un peu de
nettoyage.
Surtout votre remarque sur :
Quote
Pas ça le prétendu Browser Hijack ???? <<<== >

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/
Unquote

C'était ma page d'accueil (Le site officiel de ma ville).Je l'ai enlevée et
remplacée par la page de google comme accueil.
Microsoft Antispyware ne détécte rien depuis.
Pourvu que ça doure...
Je vous tiendrai au courant si jamais..

Cordialement.
Isilay
"Claude LaFrenière" a écrit dans le message de
news: xddibktjaqp4.1edkucy5mbuxr$

Bonjour *isilay* :

Bonjour,

A chaque scan "Possible browser hijack (Browser Modifier) est détécté. Je
supprime mais il revient toujours.Avez vous une solution pour l'éradiquer
définitivement?Je me permets de vous poster mon hijackthis.log en
espérant
qu'il serait utile pour voir le problème.
Merci d avance pour vos aides.
Cordialement.

Isilay

Réponses "grosso modo"...(donc incomplète.)

Je laisse le plaisir aux amateurs de trucs de sécurité...
Dac ?

Logfile of HijackThis v1.99.1
Scan saved at 18:55:12, on 25.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe

premier svchost...ok
C:WINDOWSsystem32svchost.exe

deuxième svchost.. ok
C:WINDOWSSystem32svchost.exe

Si tu n'imprime pas constamment pourquoi pas mettre ce service en manuel ?

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

PF ok
C:Program FilesZone LabsZoneAlarmzlclient.exe

souris ok
C:Program FilesLogitechiTouchiTouch.exe

C'est quoi ce truc ?
C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe

C'est quoi ce truc ? ce qui vient après le rundll32 est la partie la plus
importante .
Je la vois pas ... 8-(
C:WINDOWSsystem32RUNDLL32.EXE

C:Program FilesIntelIntel(R) Active Monitorimontray.exe

AV ? ok
C:Program FilesEsetnod32kui.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe

Mise à jour de Real Player : besoin de ça ? tout le temps ?
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe

Un autre rundll32 : même remarque que pour l'autre...
C:WINDOWSsystem32rundll32.exe

C:Program FilesPopTrayPopTray.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe

Quoi ça ?
C:Program FilesFichiers communsACD Systemsacdseesharesvc.exe

Quoi ça ?
C:Program FilesFichiers communsEPSONEBAPISAgent2.exe

Pas besoin de ça : débogueur à la noix d'Office ...
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe

AV... ok
C:Program FilesEsetnod32krn.exe

C'esy quoi ?
C:WINDOWSsystem32nvsvc32.exe

Pas besoin de ç`:
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

svchost 3 ième ... ok
C:WINDOWSSystem32svchost.exe

C:Program FilesUPHCleanuphclean.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSsystem32MsPMSPSv.exe
C:Program FilesIntelIntel(R) Active Monitorimonnt.exe
C:PROGRA~1SYSTRAN5.0PersonalSYSTRA~1.EXE
C:WINDOWSsystem32LVComsX.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsIsilayMes documentsinstallHijackThis.exe

Pas ça le prétendu Browser Hijack ???? <<<== >
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page >> R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page >> R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName >> Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: XNetIEObj Class - {1808648B-3102-4293-8AD3-06AF71D3321B} - (no
file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:Program
FilesSiber SystemsAI RoboFormRoboForm.dll
O2 - BHO: Google Toolbar Helper -
{AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} -
C:Program FilesSiber SystemsAI RoboFormRoboForm.dll
O3 - Toolbar: Systran50perso.IEPlugIn -
{A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:Program
FilesSYSTRAN5.0PersonalIEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:program
filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone
LabsZoneAlarmzlclient.exe

Nvidia Hleper : vire ça : inutile.
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [zBrowser Launcher] C:Program
FilesLogitechiTouchiTouch.exe

etc.

Des trucs en trop mais rien de bien malin à première vue...

Voyons ce que d'autres diront....

:)

--
Claude LaFrenière [MVP] :-)

Articles sur W xp et autre... Communautés Microsoft
http://climenole.serendipia.net/ http://communautes-ms.akro-net.org

« My Principal Design was to Inform, Not To Amuse Thee. »
Lemuel Gulliver { attribué au Rév. Jonathan Swift ;-) }

Bonsoir Claude,

Merci. Même vos " grosso modo" me sont très utiles.J'ai fait un peu de
nettoyage.
Surtout votre remarque sur :
Quote
Pas ça le prétendu Browser Hijack ???? <<<== >

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/
Unquote

C'était ma page d'accueil (Le site officiel de ma ville).Je l'ai enlevée et
remplacée par la page de google comme accueil.
Microsoft Antispyware ne détécte rien depuis.
Pourvu que ça doure...
Je vous tiendrai au courant si jamais..

Cordialement.
Isilay
"Claude LaFrenière" <No_InterNUT@AntiPebkac.org> a écrit dans le message de
news: xddibktjaqp4.1edkucy5mbuxr$.dlg@40tude.net...

Bonjour *isilay* :

Bonjour,

A chaque scan "Possible browser hijack (Browser Modifier) est détécté. Je
supprime mais il revient toujours.Avez vous une solution pour l'éradiquer
définitivement?Je me permets de vous poster mon hijackthis.log en
espérant
qu'il serait utile pour voir le problème.
Merci d avance pour vos aides.
Cordialement.

Isilay

Réponses "grosso modo"...(donc incomplète.)

Je laisse le plaisir aux amateurs de trucs de sécurité...
Dac ?

Logfile of HijackThis v1.99.1
Scan saved at 18:55:12, on 25.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe

premier svchost...ok

C:WINDOWSsystem32svchost.exe

deuxième svchost.. ok

C:WINDOWSSystem32svchost.exe

Si tu n'imprime pas constamment pourquoi pas mettre ce service en manuel ?

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

PF ok

C:Program FilesZone LabsZoneAlarmzlclient.exe

souris ok

C:Program FilesLogitechiTouchiTouch.exe

C'est quoi ce truc ?

C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe

C'est quoi ce truc ? ce qui vient après le rundll32 est la partie la plus
importante .
Je la vois pas ... 8-(

C:WINDOWSsystem32RUNDLL32.EXE

C:Program FilesIntelIntel(R) Active Monitorimontray.exe

AV ? ok

C:Program FilesEsetnod32kui.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe

Mise à jour de Real Player : besoin de ça ? tout le temps ?

C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe

Un autre rundll32 : même remarque que pour l'autre...

C:WINDOWSsystem32rundll32.exe

C:Program FilesPopTrayPopTray.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe

Quoi ça ?

C:Program FilesFichiers communsACD Systemsacdseesharesvc.exe

Quoi ça ?

C:Program FilesFichiers communsEPSONEBAPISAgent2.exe

Pas besoin de ça : débogueur à la noix d'Office ...

C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe

AV... ok

C:Program FilesEsetnod32krn.exe

C'esy quoi ?

C:WINDOWSsystem32nvsvc32.exe

Pas besoin de ç`:

C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

svchost 3 ième ... ok

C:WINDOWSSystem32svchost.exe

C:Program FilesUPHCleanuphclean.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSsystem32MsPMSPSv.exe
C:Program FilesIntelIntel(R) Active Monitorimonnt.exe
C:PROGRA~1SYSTRAN5.0PersonalSYSTRA~1.EXE
C:WINDOWSsystem32LVComsX.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsIsilayMes documentsinstallHijackThis.exe

Pas ça le prétendu Browser Hijack ???? <<<== >

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page >> R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page >> R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName >> Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: XNetIEObj Class - {1808648B-3102-4293-8AD3-06AF71D3321B} - (no
file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:Program
FilesSiber SystemsAI RoboFormRoboForm.dll
O2 - BHO: Google Toolbar Helper -
{AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} -
C:Program FilesSiber SystemsAI RoboFormRoboForm.dll
O3 - Toolbar: Systran50perso.IEPlugIn -
{A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:Program
FilesSYSTRAN5.0PersonalIEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:program
filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone
LabsZoneAlarmzlclient.exe

Nvidia Hleper : vire ça : inutile.

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [zBrowser Launcher] C:Program
FilesLogitechiTouchiTouch.exe

etc.

Des trucs en trop mais rien de bien malin à première vue...

Voyons ce que d'autres diront....

:)

--
Claude LaFrenière [MVP] :-)

Articles sur W xp et autre... Communautés Microsoft
http://climenole.serendipia.net/ http://communautes-ms.akro-net.org

« My Principal Design was to Inform, Not To Amuse Thee. »
Lemuel Gulliver { attribué au Rév. Jonathan Swift ;-) }

Vous avez filtré cet utilisateur ! Consultez son message

Bonsoir Claude,

Merci. Même vos " grosso modo" me sont très utiles.J'ai fait un peu de
nettoyage.
Surtout votre remarque sur :
Quote
Pas ça le prétendu Browser Hijack ???? <<<== >

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/
Unquote

Bonjour *isilay* :

Bonjour,

A chaque scan "Possible browser hijack (Browser Modifier) est détécté. Je
supprime mais il revient toujours.Avez vous une solution pour l'éradiquer
définitivement?Je me permets de vous poster mon hijackthis.log en
espérant
qu'il serait utile pour voir le problème.
Merci d avance pour vos aides.
Cordialement.

Isilay

Réponses "grosso modo"...(donc incomplète.)

Je laisse le plaisir aux amateurs de trucs de sécurité...
Dac ?

Logfile of HijackThis v1.99.1
Scan saved at 18:55:12, on 25.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe

premier svchost...ok
C:WINDOWSsystem32svchost.exe

deuxième svchost.. ok
C:WINDOWSSystem32svchost.exe

Si tu n'imprime pas constamment pourquoi pas mettre ce service en manuel ?

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

PF ok
C:Program FilesZone LabsZoneAlarmzlclient.exe

souris ok
C:Program FilesLogitechiTouchiTouch.exe

C'est quoi ce truc ?
C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe

C'est quoi ce truc ? ce qui vient après le rundll32 est la partie la plus
importante .
Je la vois pas ... 8-(
C:WINDOWSsystem32RUNDLL32.EXE

C:Program FilesIntelIntel(R) Active Monitorimontray.exe

AV ? ok
C:Program FilesEsetnod32kui.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe

Mise à jour de Real Player : besoin de ça ? tout le temps ?
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe

Un autre rundll32 : même remarque que pour l'autre...
C:WINDOWSsystem32rundll32.exe

C:Program FilesPopTrayPopTray.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe

Quoi ça ?
C:Program FilesFichiers communsACD Systemsacdseesharesvc.exe

Quoi ça ?
C:Program FilesFichiers communsEPSONEBAPISAgent2.exe

Pas besoin de ça : débogueur à la noix d'Office ...
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe

AV... ok
C:Program FilesEsetnod32krn.exe

C'esy quoi ?
C:WINDOWSsystem32nvsvc32.exe

Pas besoin de ç`:
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

svchost 3 ième ... ok
C:WINDOWSSystem32svchost.exe

C:Program FilesUPHCleanuphclean.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSsystem32MsPMSPSv.exe
C:Program FilesIntelIntel(R) Active Monitorimonnt.exe
C:PROGRA~1SYSTRAN5.0PersonalSYSTRA~1.EXE
C:WINDOWSsystem32LVComsX.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsIsilayMes documentsinstallHijackThis.exe

Pas ça le prétendu Browser Hijack ???? <<<== >
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page >> http://www.montreux.ch/

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page >> R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page >> R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName >> Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: XNetIEObj Class - {1808648B-3102-4293-8AD3-06AF71D3321B} - (no
file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:Program
FilesSiber SystemsAI RoboFormRoboForm.dll
O2 - BHO: Google Toolbar Helper -
{AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} -
C:Program FilesSiber SystemsAI RoboFormRoboForm.dll
O3 - Toolbar: Systran50perso.IEPlugIn -
{A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:Program
FilesSYSTRAN5.0PersonalIEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:program
filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone
LabsZoneAlarmzlclient.exe

Nvidia Hleper : vire ça : inutile.
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [zBrowser Launcher] C:Program
FilesLogitechiTouchiTouch.exe

etc.

Des trucs en trop mais rien de bien malin à première vue...

Voyons ce que d'autres diront....

:)

--
Claude LaFrenière [MVP] :-)

Articles sur W xp et autre... Communautés Microsoft
http://climenole.serendipia.net/ http://communautes-ms.akro-net.org

« My Principal Design was to Inform, Not To Amuse Thee. »
Lemuel Gulliver { attribué au Rév. Jonathan Swift ;-) }

Claude LaFrenière

25/05/2005 à 22:24

Bonjour *isilay* :

Bonsoir Claude,

Merci. Même vos " grosso modo" me sont très utiles.J'ai fait un peu de
nettoyage.
Surtout votre remarque sur :
Quote
Pas ça le prétendu Browser Hijack ???? <<<== >>
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page >>> http://www.montreux.ch/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page >>> http://www.montreux.ch/
Unquote

C'était ma page d'accueil (Le site officiel de ma ville).Je l'ai enlevée et
remplacée par la page de google comme accueil.
Microsoft Antispyware ne détécte rien depuis.
Pourvu que ça doure...
Je vous tiendrai au courant si jamais..

Cordialement.
Isilay

Désolé de ne pas avoir fait mieux: pas très en forme ces jours-ci...

Pour bien protéger Internet Explorer je vous suggère d'utiliser
Spyware Guard et/ou BHO Demon:

Spyware Blaster et Spyware Guard:
http://www.javacoolsoftware.com/products.html

http://www.definitivesolutions.com/

:)
--
Claude LaFrenière [MVP] :-)

Articles sur W xp et autre... Communautés Microsoft
http://climenole.serendipia.net/ http://communautes-ms.akro-net.org

« My Principal Design was to Inform, Not To Amuse Thee. »
Lemuel Gulliver { attribué au Rév. Jonathan Swift ;-) }

Claude LaFrenière

25/05/2005 à 22:25

Bonjour *Jacques93* :

Moi, service spoolsv arrêté (mais pas désactivé), ça semble bien
fonctionner.

Y'a un truc ? ;-)

Service spooler simplement arrêté (laissé en démarrage auto ou manuel)

http://cjoint.com/?fzv4FFIhVf

Résultat, plus d'imprimante, par contre petit mélange avec W2K (sous XP
on a le choix d'ajouter une imprimante) , mais erreur quand même :

http://cjoint.com/?fzwaPfRg4H

Je précise, XP PRO, au cas ou il y aurait une différence avec XP Home.

Si j'ai répondu à Claude LaFrenière sur ce point, c'est que certains
drivers d'imprimantes plante le process spoolsv, sans citer personne,
MS le fait :

http://support.microsoft.com/kb/324757/fr

Et quand on a des config réseaux avec beaucoup d'imprimantes, c'est agaçant.

Merci de la précision.
J'en prend note.

:)

--
Claude LaFrenière [MVP] :-)

Articles sur W xp et autre... Communautés Microsoft
http://climenole.serendipia.net/ http://communautes-ms.akro-net.org

« My Principal Design was to Inform, Not To Amuse Thee. »
Lemuel Gulliver { attribué au Rév. Jonathan Swift ;-) }

Jacques93

25/05/2005 à 23:20

Bonsoir Claude LaFrenière,

Bonjour *Jacques93* :

Moi, service spoolsv arrêté (mais pas désactivé), ça semble bien
fonctionner.

Y'a un truc ? ;-)

Service spooler simplement arrêté (laissé en démarrage auto ou manuel)

http://cjoint.com/?fzv4FFIhVf

Résultat, plus d'imprimante, par contre petit mélange avec W2K (sous XP
on a le choix d'ajouter une imprimante) , mais erreur quand même :

http://cjoint.com/?fzwaPfRg4H

Je précise, XP PRO, au cas ou il y aurait une différence avec XP Home.

Si j'ai répondu à Claude LaFrenière sur ce point, c'est que certains
drivers d'imprimantes plante le process spoolsv, sans citer personne,
MS le fait :

http://support.microsoft.com/kb/324757/fr

Et quand on a des config réseaux avec beaucoup d'imprimantes, c'est agaçant.

Merci de la précision.
J'en prend note.

:)

Je ne suis pas 'Administrateur réseau', mais merci pour eux Claude
LaFrenière ;-)

HS : Va falloir que j'investisse dans un correcteur orthographique,
ou dans des lunettes. As-tu testé le rapport qualité prix de ces deux
accessoires ? ;-)

--
Cordialement,

Jacques.

Claude LaFrenière

25/05/2005 à 23:36

Bonjour *Jacques93* :

Je ne suis pas 'Administrateur réseau', mais merci pour eux Claude
LaFrenière ;-)

? j'ai dû en manquer un bout...

HS : Va falloir que j'investisse dans un correcteur orthographique,
ou dans des lunettes. As-tu testé le rapport qualité prix de ces deux
accessoires ? ;-)

Sais pas : dans mon cas ce serait un autre cerveau.

--
Claude LaFrenière [MVP] :-)

Articles sur W xp et autre... Communautés Microsoft
http://climenole.serendipia.net/ http://communautes-ms.akro-net.org

« My Principal Design was to Inform, Not To Amuse Thee. »
Lemuel Gulliver { attribué au Rév. Jonathan Swift ;-) }

Microsoft Antispyware Béta 1

9 réponses

Veuillez sélectionner un problème