magiccontrol agent :comment le supprimer???
magiccontrol agent :comment le supprimer??? - Sécurité - Windows & Software
Marsh Posté le 13-10-2005 à 13:48:08
salut brisco.En fait j'ai installé la nouvelle version de spybot (la 1.4).Ce coup ci il ne voit plus Magiccontrol.agent mais j'ai toujours l'ouverture intempestive de fenetres publicitaires avec IE.
Je ne vois pas en quoi power ie va m'aider à résoudre le pb.
Ci joint mon log de hijack si toi ou quelqu'un d'autre peut y voir qqe chose de bizarre.
Merci.
Logfile of HijackThis v1.99.1
Scan saved at 13:47:45, on 13/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Winamp3\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\program files\mailskinner\mailskinner.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\popo\LOCALS~1\Temp\Répertoire temporaire 3 pour hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {26D73573-F1B3-48C9-A989-E6CE071957A1} - http://akamai.downloadv3.com/binar [...] 057_XP.cab
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {E114CD5B-17CE-4807-890E-7B1EDF9F2E5E} - http://scripts.downloadv3.com/bina [...] 066_XP.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B2CD069-B0C1-4247-BC26-B8E5010924C9}: NameServer = 80.118.192.111 80.118.196.41
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Marsh Posté le 13-10-2005 à 14:34:44
Alors... on fait le coquin ? -->
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/PackageHtmlCab.CAB
Sinon, rien d'anormal dans le log. Et pour ce qui est de ton agent magique : http://labs.paretologic.com/spywar [...] gicControl (2s sous google...)
Marsh Posté le 13-10-2005 à 15:16:07
En fait j'ai enlevé des merdes avec l'analyse du log sur le site hijack this,mais j'ai toujours des fenetres (toujours les memes: http://www.goldenpalace.com casino virtuel golden palace par exemple...) qui s'ouvrent avec ie et aucun logiciel (adaware,spybot...etc)ne trouve qqe chose...E fait je me demande si ça vient de magiccontrol (qui d'ailleurs n'est plus repéré par spybot depuis un petit moment)ou est ce autre chose ???
Merci à vous
Marsh Posté le 13-10-2005 à 15:25:38
| maille-hem a écrit : Sinon, rien d'anormal dans le log. Et pour ce qui est de ton agent magique : http://labs.paretologic.com/spywar [...] gicControl (2s sous google...) |
....tu lis les réponses qu'on te poste ou tu fais juste semblant ?!
Marsh Posté le 13-10-2005 à 19:27:05
Il ne fallait pas enlever "des merdes avec l'analyse du log sur le site hijack this" comme tu dis.
Cocher une ligne n'enlève pas les fichiers qui peuvent être lancés d'ailleurs. Et maintenant, on ne voit plus rien.
Fais ceci : télécharge SilentRunners.vbs.
Lance-le. Il génère un log, un peu comme HijackThis. Copie/colle le (ENTIER !)
Marsh Posté le 14-10-2005 à 13:27:09
salut maille.Si si j'ai téléchargé Xoftspy mais il n'a rien trouvé concernant Magiccontrol.agent.En fait il n'a strictement rien détecté d'anormal...donc je pense que ces pop ups doivent provenir d'autre chose:cependant Adaware,Spybot et donc Xoftspy ne trouvent rien du tout (pourtant tous lancés avec les dernieres mises à jour).
Sinon pour Acrobaze:le log que j'avais avec hijack this avant de supprimer des lignes est celui imprimé juste au dessus.J'essaye ton lien en ce moment.
Merci pour votre aide.Je vous tiens au courant
Marsh Posté le 14-10-2005 à 13:30:37
Bien voici le log de silent runners: bon courage car je n'y comprends rien...merci encore :
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [null data]
"WINSOS VERIFY" = ""C:\Program Files\WINSOS\WINSOS.EXE" MINI" [file not found]
"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE" ["Dritek System Inc."]
"NWEReboot" = (empty string)
"RealTray" = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"WinampAgent" = ""C:\Program Files\Winamp3\winampa.exe"" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\popo\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Startup items in "popo" & "All Users" startup folders:
------------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Enabled Scheduled Tasks:
------------------------
"FRU Task #Hewlett-Packard#hp psc 1200 series#1099565548" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1099565548"" [empty string]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msjava.dll" [MS]
{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Organise-notes"
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 35 seconds, including 15 seconds for message boxes)
Marsh Posté le 14-10-2005 à 13:35:13
Voici le meme log mais apparemment plus précis (en cliquant "no" au message skip....:
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [null data]
"WINSOS VERIFY" = ""C:\Program Files\WINSOS\WINSOS.EXE" MINI" [file not found]
"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE" ["Dritek System Inc."]
"NWEReboot" = (empty string)
"RealTray" = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"WinampAgent" = ""C:\Program Files\Winamp3\winampa.exe"" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\popo\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Startup items in "popo" & "All Users" startup folders:
------------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Enabled Scheduled Tasks:
------------------------
"FRU Task #Hewlett-Packard#hp psc 1200 series#1099565548" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1099565548"" [empty string]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msjava.dll" [MS]
{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Organise-notes"
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 44 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 12 seconds.
---------- (total run time: 73 seconds)
Marsh Posté le 14-10-2005 à 13:38:16
Re,
ça c'est pas bon :
fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
Et puis le lien que je t'avais donné n'était pas pour télécharger XoftSpy mais pour suivre la procédure indiquée dans la page...
@+ !
Marsh Posté le 14-10-2005 à 14:24:38
ok maille donc pour ce fichier puis je l'enlever en mode normal ou dois je le faire en mode sans echec .Dois je désactiver la restauration systeme avant de l'enlever (car ça peut jouer sur le fait qu'il revienne également...)
Sinon pour la procédure complete de magiccotrol.agent le probleme est que les dossiers et fichiers ne sont pas simples à trouver sans parler des 2 valeurs de registre non détaillées...
je penche plutot sur le fait que les pop up viennent d'autre chose (peut etre ce fwbzvqucxi...).Ce coup ci j'attends vos réponses avant d'enlever quoi que ce soit. Merci !
Marsh Posté le 14-10-2005 à 14:36:44
juste pour info et avant de modifier qqe chose:concernant ce
fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
qui serait mauvais: il n'existe pas quand je vais dans le lien décrit.
Et dans Démarre/executer/msconfig/demarrage j'ai en effet de coché fwbzvqucxi en élt de démarrage.
Marsh Posté le 14-10-2005 à 15:42:12
Encore moi: spybot vient de redétecter Magiccontrol.agent . La valeur du registre mentionnée est :
HKEY_USERS\S-1-5-21-4083798302-3134616843-1333191943-1005\Software\mc\SA
Marsh Posté le 14-10-2005 à 16:13:41
| lolo1717 a écrit : Sinon pour la procédure complete de magiccotrol.agent le probleme est que les dossiers et fichiers ne sont pas simples à trouver sans parler des 2 valeurs de registre non détaillées... |
Les 2 qui ne sont pas détaillées tu laisse tomber... par contre pour le reste je n'ai que 2 choses à dire : ctrl+f dans le registre et Win+F pour le reste.
Si Spybot et les autres ne détectent rien, il te reste le nettoyage manuel... Mais bon, c'est fatiguant...
Marsh Posté le 14-10-2005 à 17:47:31
lolo1717
Il faut que tu prennes conscience que si tu n'y connais pas grand-chose, il peut en être de même pour n'importe qui qui te répond dans un forum comme celui-ci.
1- Désinstalle immédiatement Xoftspy qui est un "rogue" :
http://www.spywarewarrior.com/rogu [...] m#xos_note
2- Télécharge "PocketKillBox" sur :
http://www.downloads.subratam.org/KillBox.zip
Pose-le sur ton bureau. Lance-le.
Dans "Paste full path of file.." ->copie/colle: c:\windows\system32\fwbzvqucxi.exe
Tu peux le faire avec cette fenêtre ouverte, ce sera plus pratique pour le copier/coller.
Coche "Delete on reboot".
Clique "Delete File". (La croix blanche)
Laisse l'ordi redémarrer, poste un nouveau log SilentRunners et dis ce qu'il en est des popups.
Marsh Posté le 15-10-2005 à 12:09:30
salut Acrobaze et merci de m'aider: j'ai bien déinstallé Xoftspy et téléchargé Pocket Bill :au 1er essai avec Pocket bill j'ai bien suivi les opérations en faisant le copier coller de c:\windows\system32\fwbzvqucxi.exe
puis "delete on reboot" puis "delete file".Ca a bien redemarré mais toujours des pops ups et là j'ai réssayé meme opération avec comme message de réponse:
"Pending File Rename Operations Registry Data has been removed by external process". De plus dans Demarrer executer msconfig j'ai bien toujours c:\windows\system32\fwbzvqucxi.exe de coché. Le décocher ici ne serait pas bon??? merci
Marsh Posté le 15-10-2005 à 12:47:42
Salut,
Il peut être dans msconfig sans pour cela être présent sur le DD.
Reposte un log SilentRunners pour voir s'il est bien éliminé...ou peut-être remplacé (??)
Aussi, fais ceci : lance HijackThis -> config -> misc tools -> open uninstall manager
Sauvegarde la liste et copie/colle la ici.
Si le fichier est toujours présent ou remplacé, on le fera analyser. Tout récemment, il y a eu des cas de rootkits un peu dans le même genre.
Marsh Posté le 15-10-2005 à 12:58:28
Alors voici le dernier log silent runners+ liste Hijack :
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [null data]
"WINSOS VERIFY" = ""C:\Program Files\WINSOS\WINSOS.EXE" MINI" [file not found]
"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE" ["Dritek System Inc."]
"NWEReboot" = (empty string)
"RealTray" = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"WinampAgent" = ""C:\Program Files\Winamp3\winampa.exe"" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\popo\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Startup items in "popo" & "All Users" startup folders:
------------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Enabled Scheduled Tasks:
------------------------
"FRU Task #Hewlett-Packard#hp psc 1200 series#1099565548" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1099565548"" [empty string]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msjava.dll" [MS]
{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Organise-notes"
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 40 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 11 seconds.
---------- (total run time: 74 seconds)
Liste Hijack:
7000 Lettres et Courriers Types
Ad-Aware SE Personal
Adobe Acrobat 5.0
Agere Systems AC'97 Modem
Aspire 1350
ATI Control Panel
ATI Display Driver
Barre d'outils MSN
Canon Digital Camera USB WIA Driver
Canon PhotoRecord
Canon Utilities PhotoStitch 3.1
Canon Utilities RAW Image Converter
Canon Utilities RemoteCapture 2.2
Canon Utilities ZoomBrowser EX
CDBurnerXP Pro 3
Collection Microsoft Encarta 2004
Correctif Windows XP - KB834707
Correctif Windows XP - KB867282
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
Correctif Windows XP - KB888113
Correctif Windows XP - KB888302
Correctif Windows XP - KB890047
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB890923
Correctif Windows XP - KB891781
Correctif Windows XP - KB893066
Correctif Windows XP - KB893086
DeepBurner v1.6.0.198
Disque de souvenirs HP
DVD Identifier
DVD Shrink 3.2
Ecran de veille AOL Photos
eMule
EVEREST Home Edition v2.01
Google Earth
HijackThis 1.99.1
hp psc 1200 series
ImageMixer
Indeo® Software
Jasc Paint Shop Pro 8
Java 2 Runtime Environment, SE v1.4.2
Kit de connexion ADSL
K-Lite Codec Pack 2.34 Full
KM400/KN400 Display Driver and Utilities
L&H TTS3000 Français
Launch Manager
Learn2 Player (Uninstall Only)
Macromedia Shockwave Player
MailSkinner
Maxi Puzzles
Micro Application - Cartes de visite 2002
Micro Application - MediaDICO 12
Microsoft Office 2000 Premium
MicroStaff WINASPI
Mise à jour de sécurité pour Windows XP (KB883939)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899588)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB903235)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB896727)
Mise à jour pour Windows XP (KB898461)
Mozilla Firefox (1.0.6)
MSN Messenger 7.5
Nero Suite
NTI CD & DVD-Maker 6.5 Gold
Photo et imagerie HP 2.0 - All-in-One
Photo et imagerie HP 2.0 - All-in-One Pilote
Photo et imagerie HP 2.0 - hp psc 1200 series
Pinnacle Hollywood FX 4.6
PowerDVD
QuickTime
RealPlayer Basic
Realtek AC'97 Audio
S3 S3Display
S3 S3Gamma2
S3 S3Info2
S3 S3Overlay
Shockwave
SpywareBlaster v3.4
Studio 8
Super Patiences et Réussites 3
Synaptics Pointing Device Driver
Viewpoint Media Player
Winamp3 (remove only)
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows XP Service Pack 2
Marsh Posté le 15-10-2005 à 13:13:15
Toujours là avec le même nom....
Rien à désinstaller.
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Puis va sur ce SITE
Upload ce fichier : c:\windows\system32\fwbzvqucxi.exe
Puis clique "Submit".
Deux minutes et il affiche ses résultats. Copie/colle les ici.
En dernier ressort on utilisera Ewido.
Marsh Posté le 15-10-2005 à 16:00:46
Alors j'avais bien déja "afficher dossiers cachés" coché et "masquer extensions " décoché.Pourtant 
\windows\system32\fwbzvqucxi.exe
est impossible à trouver...j'ai donc écrit ce lien sur ton site et voici le résultat
merci encore!)
Service load:
0% 100%
File: fwbzvqucxi.exe
Status:
INFECTED/MALWARE
MD5 2c3d8134ea39d5b1e9916a0da9407808
Packers detected:
YODAPROTECT
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found not-a-virus:AdWare.NaviPromo.g
NOD32
Found Win32/Adware.NaviPromo application
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found nothing
Marsh Posté le 16-10-2005 à 10:34:33
Salut Acrobaze:si tu passes sur le forum aujourd'hui mon post juste au dessus contient les logs demandés.Je voulais aussi te demander:
- Spybot redétecte Magiccontrol.agent que je croyais parti :
valeur du registre mentionnée est :
HKEY_USERS\S-1-5-21-4083798302-3134616843-1333191943-1005\Software\mc\SA
-Y a til elon toi un lien avec ce fameux :
c:\windows\system32\fwbzvqucxi.exe ???
Merci
Marsh Posté le 16-10-2005 à 10:50:22
Salut,
Franchement, je ne sais pas s'il y a un rapport.
Par contre, c'est pratiquement certain qu'il y en a un entre ce fichier et les popups.
Redémarre en mode sans échec et supprime manuellement le fichier :
c:\windows\system32\fwbzvqucxi.exe
vide la corbeille.
Redémarre en mode normal, relance SilentRunners et vois si le fichier a été recréé.
Marsh Posté le 16-10-2005 à 13:39:21
Voila j'ai enlevé en mode sans echec 4 fichiers fwbzvqucxi....dont le fameux c:\windows\system32\fwbzvqucxi.exe .Voila le nouveau log silent runners:
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [null data]
"WINSOS VERIFY" = ""C:\Program Files\WINSOS\WINSOS.EXE" MINI" [file not found]
"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE" ["Dritek System Inc."]
"NWEReboot" = (empty string)
"RealTray" = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]
"WinampAgent" = ""C:\Program Files\Winamp3\winampa.exe"" [null data]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"fwbzvqucxi" = "c:\windows\system32\fwbzvqucxi.exe -start" [file not found]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"ndpbckzxy" = "c:\windows\system32\ndpbckzxy.exe -start" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\popo\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Startup items in "popo" & "All Users" startup folders:
------------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Enabled Scheduled Tasks:
------------------------
"FRU Task #Hewlett-Packard#hp psc 1200 series#1099565548" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1099565548"" [empty string]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll" [MS]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "&Organise-notes Encarta" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\msjava.dll" [MS]
{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Organise-notes"
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 38 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 11 seconds.
---------- (total run time: 73 seconds)
Marsh Posté le 16-10-2005 à 13:46:11
Ok. Il en a recréé un :
"ndpbckzxy" = "c:\windows\system32\ndpbckzxy.exe -start" [null data]
Télécharge la version d'évaluation d'Ewido :ICI.
- Installe-le (au moment de l'installation, décoche les options : gardien d'arrière plan etc..)
- Mets-le à jour.
Redémarre en mode sans échec.
- Lance un scan complet du système.
- Supprime tout ce qu'il trouvera (il te demandera au premier fichier trouvé, coche la case "Même action pour tous les fichiers"...)
- Sauve son rapport final.
Repart en mode normal et copie/colle ce rapport.
Marsh Posté le 16-10-2005 à 20:43:55
Encore moi:j'ai suivi pas à pas les étapes,voici le log (19 objets néfastes je crois).Je lirai ta réponse prochaine mais n'aurait plus accés à cet ordi pendant qqes temps donc j'attends qd meme ta réponse et reviedrai sur le forum s'il faut encore faire qqe chose.En tout cas merci encore pour tout!
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------
+ Créé le: 20:04:00, 16/10/2005
+ Somme de contrôle: BBAB16F6
+ Résultats du scan:
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{26D73573-F1B3-48C9-A989-E6CE071957A1} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C
WINDOWS/System32/EGDACCESS_1057.dll\\.Owner -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\CWINDOWS/System32/EGDACCESS_1057.dll\\{26D73573-F1B3-48C9-A989-E6CE071957A1} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\CWINDOWS/System32/netslv32.dll\\.Owner -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\CWINDOWS/System32/netslv32.dll\\{F72BC3F0-6C20-4793-9DDA-258589D8A907} -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINDOWS\system32\msclock32.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP1\A0000012.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP1\A0000023.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP1\A0000034.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000078.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000083.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000097.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000113.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000123.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000157.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000177.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000189.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP2\A0000204.dll -> Dialer.Generic : Nettoyer et sauvegarder
::Fin du rapport
Marsh Posté le 16-10-2005 à 20:47:08
Pas de trace de NaviPromo....
Supprime ce fichier pour voir:
c:\windows\system32\ndpbckzxy.exe
Sujets relatifs:
- je n'arrive pas a supprimer un fichier
- Supprimer un dossier dans Windows Media Center ?
- URGENT mauvais fichier supprimer!!!
- Rechercher des dossiers et les supprimer
- si je vous dis magiccontrol.agent, popuper et winfixer ?
- Supprimer une entrée dans le multiboot de XP
- Virus detecte par BitDefender et non supprimer
- troyen rdriv.sys décidément dur à supprimer pour les débutants en info
- Domino : Aide pour fonction formula dans agent
Marsh Posté le 12-10-2005 à 19:25:08
bonsoir à tous,
voila je crois ne pas etre le seul à avoir cette merde détecté par spybot:à chaque je l'efface et à chaque fois il revient...en fait avec internet explorer ça fait ouvrir des pubs de toute sorte et c'est gavant...
Avez vous une solution svp ???