virus : bloque explorer, certains sites, antivirus... (log HijackThis)
virus : bloque explorer, certains sites, antivirus... (log HijackThis) - Sécurité - Windows & Software
Marsh Posté le 29-08-2006 à 22:57:00
Supprime
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer] iexplorer.exe
O15 - Trusted Zone: *.campusnet (HKLM)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RFNJVA\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
Voila
Marsh Posté le 30-08-2006 à 15:03:51
bonjour a tous,
Nosti, ne le prends pas mal mais dire:
| Citation : Supprime |
ca ne veut rien dire du tout.
Fixer des lignes, c'est bien beaux, mais faux supprimer les fichiers/dossiers qui vont avec.
Lukiel, tu es infecté par une bestiole, qui "vole" les mots de passes, donc evite tout ce qi est mot de passe (site de ta banque...etc)
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.
Télécharge [color=red]Look2Me-Destroyer.exe[/color] (par Atribune) sur ton Bureau.[list]
- Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
- Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
- Coche Run this program as a task
- Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
- Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
- Lorsque le scan termine, clique sur le bouton Remove L2M
- Un message Done Scanning apparaîtra, clique OK.
- Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
- Ton PC va maintenant s'éteindre.
- Démarre ton PC normalement.
- Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
[/list]
*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.
@+
Marsh Posté le 30-08-2006 à 17:18:21
OK je vais tenter ça alors 
j'essaie de faire ça ce soir, merci de ton aide
a+
Marsh Posté le 30-08-2006 à 22:11:44
Mauvaise nouvelle : Look2Me-destroyer a bien tourné mais toujours impossible d'ouvrir le poste de travail, et norton antivirus se ferme tout seul 
voici les logs :
Logfile of HijackThis v1.99.1
Scan saved at 21:57:43, on 30/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\RFNJVA\command.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\winservnt32.exe
C:\WINNT\Explorer.exe
C:\WINNT\AGRSMMSG.exe
C:\WINNT\system32\RunDll32.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\nwnmff_14.exe
C:\kybrdff_14.exe
C:\dfndrff_14.exe
C:\WINNT\system32\internat.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [newname] C:\\nwnmff_14.exe
O4 - HKLM\..\Run: [ntdll.dll] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_14.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.campusnet (HKLM)
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E85533-B3A1-4ED5-B967-F66744E94B92}: Domain = ensam.inra.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E85533-B3A1-4ED5-B967-F66744E94B92}: NameServer = 147.99.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C129118-C227-4D91-B5B2-E37E098FA27A}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RFNJVA\command.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 30/08/2006 21:50:37
Infected! C:\WINNT\system32\dnj8011ue.dll
Infected! C:\WINNT\system32\iuakeng.dll
Infected! C:\WINNT\system32\sjrdx86.dll
Infected! C:\WINNT\system32\hrink.dll
Infected! C:\WINNT\system32\dnj8011ue.dll
Infected! C:\WINNT\system32\dBtaclen.dll
Infected! C:\WINNT\system32\lv6s09j7e.dll
Infected! C:\WINNT\system32\l40u0ed9eh0.dll
Attempting to delete infected files...
Attempting to delete: C:\WINNT\system32\dnj8011ue.dll
C:\WINNT\system32\dnj8011ue.dll Deleted successfully!
Attempting to delete: C:\WINNT\system32\iuakeng.dll
C:\WINNT\system32\iuakeng.dll Deleted successfully!
Attempting to delete: C:\WINNT\system32\sjrdx86.dll
C:\WINNT\system32\sjrdx86.dll Deleted successfully!
Attempting to delete: C:\WINNT\system32\hrink.dll
C:\WINNT\system32\hrink.dll Deleted successfully!
Attempting to delete: C:\WINNT\system32\dnj8011ue.dll
C:\WINNT\system32\dnj8011ue.dll Deleted successfully!
Attempting to delete: C:\WINNT\system32\dBtaclen.dll
C:\WINNT\system32\dBtaclen.dll Deleted successfully!
Attempting to delete: C:\WINNT\system32\lv6s09j7e.dll
C:\WINNT\system32\lv6s09j7e.dll Deleted successfully!
Attempting to delete: C:\WINNT\system32\l40u0ed9eh0.dll
C:\WINNT\system32\l40u0ed9eh0.dll Deleted successfully!
Making registry repairs.
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Control Panel
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{9AE7349C-C9B3-442F-AE36-235D9A6BC49A}"
HKCR\Clsid\{9AE7349C-C9B3-442F-AE36-235D9A6BC49A}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administrateurs - Succeeded
Marsh Posté le 31-08-2006 à 11:19:50
re,
Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de
continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.
1/Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/en/download/
Installe la et mets à jour.
Démarre Ewido avec l'icône qui se trouve sur ton Bureau.
Clique sur [color=#3333FF]Update Now[/color],
attend la fin de cette mise à jour,
puis ferme le programme.
2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html
3/
demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:
TheSearchAccelerator
Deskbar
Network Monitor
si ces programmes sont presents desinstallent les.
4/fais:
demarer executer services.msc repere Command Service
Double clic dessus 
ans le champs Statut du service met le sur [color=red]arrêté [/color]
dans le champs Type de démarrage met le sur [color=red]désactivé [/color] puis
Appliquer puis ok .
5/ fais la meme manip avec Network Monitor
6/maintenant on supprimer le service:
demarrer/executer/ cmd
execute cette commande qui est en citation sans le mot citation:
| Citation : |
7/fais la meme manip avec Network Monitor
8/lance hijackthis en cliquant sur do a scan system only coche ces lignes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_14.exe
O4 - HKLM\..\Run: [ntdll.dll] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_14.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked
9/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:
| Citation : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : |
10/supprime ce qui est en gras:
C:\Program Files\ Deskbar<== tout le dossier
C:\Program Files\ Network Monitor<== tout le dossier
C:\WINNT\ RFNJVA<== tout le dossier
C:\Program Files\ TheSearchAccelerator<== tout le dossier
C:\\ nwnmff_14.exe<== le fichier
C:\\ kybrdff_14.exe<== le fichier
C:\\ dfndrff_14.exe<== le fichier
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ ibm00001.exe<== le fichier
C:\WINNT\system32\ msijavaup32.exe<== le fichier
C:\WINNT\web\ related.htm<== le fichier
C:\WINNT\system32\ javanet.exe<== le fichier
C:\WINNT\system32\ msjava.exe<== le fichier
C:\WINNT\system32\ xpjavams.exe<== le fichier
C:\WINNT\system32\ wunosjava.exe<== le fichier
C:\WINNT\system32\ creative.exe<== le fichier
C:\WINNT\system32\ netapi.exe<== le fichier
C:\WINNT\system32\ msguard.exe<== le fichier
C:\WINNT\system32\ javaapplets.exe<== le fichier
C:\WINNT\system32\ jconsole.exe<== le fichier
C:\WINNT\system32\ winservnt32.exe<== le fichier
11/
| Citation : demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées |
recherche (demarrer/rechercher) et supprime ce fichier si tu le trouves:
iexplorer.exe
12/ Relance Ewido et clique sur [color=#3333FF]Scanner [/color]
Puis sur l'onglets [color=#3333FF]Settings[/color], pour [color=#3333FF]How to Act [/color]sélèctionne [color=#3333FF]Quarantine[/color].
Reviens a l'onglet [color=#3333FF]Scan[/color] cliques [color=#3333FF]Complete system Scan[/color].
Le scan démarre.
A la fin cliquer sur [color=#3333FF]Apply all actions[/color]
Puis sur [color=#3333FF]Save report [/color]et pour finir [color=#3333FF]Save report as[/color] enregistrer sur le Bureau.
13/redemarre en mode normal
14/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.
bon courage, et si tu as la moindre question n'hesite surtout pas 
@+
Message édité par the bruce lee le 31-08-2006 à 20:46:52
Sujets relatifs:
- supprimer ancien antivirus avant deploiment du nouveau via GPO
- Problème avec "Envoyer vers" a partir de l' Explorer
- Win32 Sality Virus
- virus persistants
- quelle antivirus
- FireFox : bloqué / filtré par un pare-feu -> comment faire ?
- virus? fermeture fenetre + antivirus
- [résolu] Bug d'explorer avec la fonction "Lire tout"
- comment bloque l'accès au webmail et au compte Orange
Marsh Posté le 29-08-2006 à 21:20:49
Je ne sais plus quoi faire !
Logfile of HijackThis v1.99.1
Scan saved at 20:32:27, on 29/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\winservnt32.exe
C:\WINNT\Explorer.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [newname] C:\\nwnmff_13.exe
O4 - HKLM\..\Run: [ntdll.dll] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_13.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_13.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.campusnet (HKLM)
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E85533-B3A1-4ED5-B967-F66744E94B92}: Domain = ensam.inra.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E85533-B3A1-4ED5-B967-F66744E94B92}: NameServer = 147.99.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O20 - Winlogon Notify: AdminDebug - C:\WINNT\system32\fpr4039qe.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RFNJVA\command.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
Merci d'avance pour toute contribution