OHPE ver 4.12_23 et iworm-attack-v122.02a
OHPE ver 4.12_23 et iworm-attack-v122.02a - Sécurité - Windows & Software
Marsh Posté le 15-07-2006 à 13:42:05
salut
est-ce que dans ta liste ajout/suppression de programmes, tu as "uninstall Lop" ?
Marsh Posté le 15-07-2006 à 14:02:30
redémarre en mode sans échec
dans ajout/supp, désinstalle :
Media-Codec
Messenger plus -> ne désinstalle pas le programme messenger plus, on va te proposer de désinstaller uniquement le sponsor, fais le
double-clique sur le fichier "SmitfraudFix.cmd" et choisis loption 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
Quand il a terminé, redémarre normalement et poste :
- le rapport que tu as sauvegardé.
- un nouveau HijackThis
- télécharge lopxpMH : http://perso.numericable.fr/~altsh [...] opxpMH.zip
Enregistrer la cible ci dessus(du lien) sous... et enregistre-le sur ton bureau.
Dézippe-le (clic droit >> Extraire ici) et double clique sur lopxpMH.bat
poste le contenu du rapport qui va s'ouvrir.
Marsh Posté le 15-07-2006 à 14:24:17
Voici le rapport de "SmitfraudFix.cmd" en Mode sans Echec :
SmitFraudFix v2.70
Rapport fait à 14:13:21,26, 15/07/2006
Executé à partir de C:\Documents and Settings\Bastien\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
C:\WINDOWS\system32\yephk.dll -> Missing File
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"
»»»»»»»»»»»»»»»»»»»»»»»» Fin
LE nouveau Hijackthis en mode normal:
Logfile of HijackThis v1.99.1
Scan saved at 14:20:08, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Bastien\LOCALS~1\Temp\Rar$EX00.656\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.ucksfnyknhbjcpzs.com/If [...] UEivw.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsec [...] rf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2A19B2C7-F66A-AC31-131B-5B2DBD4A83EC} - C:\DOCUME~1\Michel\APPLIC~1\SIGNME~1\Cool once.exe (file missing)
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Program Files\Media-Codec\isaddon.dll (file missing)
O2 - BHO: (no name) - {6726FC6E-0817-E97B-E10D-0A276AAFB45A} - C:\DOCUME~1\Bastien\APPLIC~1\SIGNME~1\Cool once.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Program Files\Media-Codec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PLATFORM ARMY TICK BLEH] C:\Documents and Settings\All Users\Application Data\Option amok platform army\View meet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Beepholdliescdrom] C:\Documents and Settings\All Users\Application Data\Bold List Beep Hold\BORE32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [axisfirst] C:\DOCUME~1\Bastien\APPLIC~1\PROCDR~1\Balmfree.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Et le rapport de lopxpMH.bat :
Rapport fait à 14:21:26,28 le 15/07/2006
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Administrateur\Application Data
17/09/2005 09:54 <REP> .
17/09/2005 09:54 <REP> ..
17/09/2005 09:54 <REP> Microsoft
17/09/2005 09:54 62 desktop.ini
1 fichier(s) 62 octets
3 Rp(s) 18ÿ458ÿ959ÿ872 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data
17/09/2005 09:54 <REP> .
17/09/2005 09:54 <REP> ..
17/09/2005 09:54 <REP> Microsoft
17/09/2005 09:56 3ÿ184ÿ656 IconCache.db
1 fichier(s) 3ÿ184ÿ656 octets
3 Rp(s) 18ÿ458ÿ955ÿ776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\All Users\Application Data
11/03/2005 23:48 <REP> .
11/03/2005 23:48 <REP> ..
16/03/2005 08:27 <REP> Adobe
01/05/2005 15:09 <REP> Messenger Plus!
11/03/2005 23:48 <REP> Microsoft
12/03/2005 12:17 <REP> Option amok platform army
24/03/2005 23:20 <REP> QuickTime
07/11/2005 20:00 <REP> Real
12/03/2005 10:03 <REP> Symantec
27/06/2006 19:13 <REP> Windows Genuine Advantage
08/04/2006 12:51 <REP> Yahoo! Companion
11/03/2005 23:48 62 desktop.ini
12/03/2005 17:45 209 hpzinstall.log
2 fichier(s) 271 octets
11 Rp(s) 18ÿ458ÿ955ÿ776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Bastien\Application Data
12/03/2005 12:10 <REP> .
12/03/2005 12:10 <REP> ..
03/04/2005 21:47 <REP> Adobe
12/04/2005 22:34 <REP> AdobeUM
05/11/2005 20:50 <REP> Azureus
06/09/2005 15:09 <REP> Google
07/05/2005 17:45 <REP> Help
10/05/2005 20:52 <REP> Hewlett-Packard
12/03/2005 12:10 <REP> Identities
14/07/2006 12:54 <REP> Lavasoft
02/05/2005 17:37 <REP> LockTime
12/03/2005 12:29 <REP> Macromedia
20/03/2005 23:35 <REP> Media Player Classic
12/03/2005 12:10 <REP> Microsoft
12/03/2005 14:37 <REP> Microsoft Web Folders
12/03/2005 12:12 <REP> Mozilla
31/08/2005 19:01 <REP> Philips
12/03/2005 12:16 <REP> Proc Draw Funk
31/08/2005 21:35 <REP> Real
03/04/2005 21:10 <REP> Roxio
28/10/2005 21:19 <REP> Sun
24/03/2005 23:29 <REP> Talkback
18/06/2005 21:18 <REP> teamspeak2
05/04/2005 21:44 <REP> TextPad
24/06/2005 21:01 <REP> Ventrilo
16/10/2005 14:08 <REP> Visicom Media
18/06/2006 17:13 <REP> vlc
23/07/2005 20:28 <REP> Zen Puzzle Garden
12/03/2005 12:10 62 desktop.ini
1 fichier(s) 62 octets
28 Rp(s) 18ÿ458ÿ955ÿ776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Bastien\Local Settings\Application Data
12/03/2005 12:10 <REP> .
12/03/2005 12:10 <REP> ..
28/10/2005 21:17 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150050}
03/04/2005 21:47 <REP> Adobe
22/04/2005 23:38 <REP> Copernic
07/05/2005 17:45 <REP> Help
10/04/2005 13:26 <REP> Identities
12/03/2005 12:10 <REP> Microsoft
12/03/2005 13:20 14ÿ848 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
12/03/2005 12:10 18ÿ112 GDIPFONTCACHEV1.DAT
01/09/2005 07:11 2ÿ107ÿ978 IconCache.db
3 fichier(s) 2ÿ140ÿ938 octets
8 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Default User\Application Data
11/03/2005 23:48 <REP> .
11/03/2005 23:48 <REP> ..
11/03/2005 23:48 <REP> Microsoft
11/03/2005 23:48 62 desktop.ini
1 fichier(s) 62 octets
3 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Default User\Local Settings\Application Data
11/03/2005 23:48 <REP> .
11/03/2005 23:48 <REP> ..
0 fichier(s) 0 octets
2 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Franoise\Application Data
27/11/2005 14:41 <REP> .
27/11/2005 14:41 <REP> ..
26/03/2006 23:19 <REP> Adobe
27/11/2005 14:41 <REP> Identities
27/11/2005 14:47 <REP> Macromedia
27/11/2005 14:41 <REP> Microsoft
27/11/2005 14:46 <REP> Mozilla
27/11/2005 14:46 <REP> Talkback
27/11/2005 14:41 62 desktop.ini
1 fichier(s) 62 octets
8 Rp(s) 18ÿ458ÿ955ÿ776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Franoise\Local Settings\Application Data
27/11/2005 14:41 <REP> .
27/11/2005 14:41 <REP> ..
26/03/2006 23:19 <REP> Adobe
27/11/2005 14:41 <REP> Microsoft
27/11/2005 14:41 18ÿ512 GDIPFONTCACHEV1.DAT
27/11/2005 14:54 3ÿ793ÿ284 IconCache.db
2 fichier(s) 3ÿ811ÿ796 octets
4 Rp(s) 18ÿ458ÿ955ÿ776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Jeremy\Application Data
13/03/2005 19:15 <REP> .
13/03/2005 19:15 <REP> ..
16/07/2005 19:30 <REP> Adobe
08/11/2005 13:49 <REP> AdobeUM
15/11/2005 19:20 <REP> Azureus
13/03/2005 19:15 <REP> Identities
16/07/2005 19:29 <REP> Macromedia
13/03/2005 19:15 <REP> Microsoft
17/07/2005 02:13 <REP> Mozilla
16/07/2005 19:28 <REP> Proc Draw Funk
06/07/2006 12:48 <REP> Roxio
02/09/2005 17:44 <REP> Sign meow hope
17/07/2005 02:13 <REP> Talkback
13/03/2005 19:15 62 desktop.ini
1 fichier(s) 62 octets
13 Rp(s) 18ÿ458ÿ955ÿ776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Jeremy\Local Settings\Application Data
13/03/2005 19:15 <REP> .
13/03/2005 19:15 <REP> ..
16/07/2005 19:30 <REP> Adobe
13/03/2005 19:15 <REP> Microsoft
10/07/2005 23:22 43ÿ520 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
13/03/2005 19:15 18ÿ112 GDIPFONTCACHEV1.DAT
13/03/2005 19:24 3ÿ764ÿ262 IconCache.db
3 fichier(s) 3ÿ825ÿ894 octets
4 Rp(s) 18ÿ458ÿ955ÿ776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\LocalService\Application Data
11/03/2005 23:59 <REP> .
11/03/2005 23:59 <REP> ..
11/03/2005 23:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data
11/03/2005 23:59 <REP> .
11/03/2005 23:59 <REP> ..
11/03/2005 23:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Michel\Application Data
12/03/2005 09:19 <REP> .
12/03/2005 09:19 <REP> ..
16/03/2005 08:21 <REP> Adobe
16/03/2005 08:53 <REP> AdobeUM
25/07/2005 20:22 <REP> Google
24/03/2005 21:39 <REP> Help
12/03/2005 17:50 <REP> Hewlett-Packard
12/03/2005 09:19 <REP> Identities
07/05/2005 08:23 <REP> LockTime
12/03/2005 15:07 <REP> Macromedia
01/02/2006 07:36 <REP> Media Player Classic
12/03/2005 09:19 <REP> Microsoft
12/03/2005 11:41 <REP> Mozilla
01/09/2005 06:01 <REP> Real
02/07/2006 10:34 <REP> Roxio
03/09/2005 05:23 <REP> Sign meow hope
30/10/2005 15:00 <REP> Sun
12/03/2005 10:04 <REP> Symantec
29/03/2005 08:07 <REP> Talkback
11/06/2006 20:04 <REP> teamspeak2
16/03/2005 08:21 2ÿ100 AdobeDLM.log
12/03/2005 09:19 62 desktop.ini
16/03/2005 08:21 0 dm.ini
3 fichier(s) 2ÿ162 octets
20 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\Michel\Local Settings\Application Data
12/03/2005 09:19 <REP> .
12/03/2005 09:19 <REP> ..
16/03/2005 08:28 <REP> Adobe
12/03/2005 18:47 <REP> Copernic
24/03/2005 21:39 <REP> Help
31/03/2005 08:08 <REP> Identities
12/03/2005 09:19 <REP> Microsoft
12/03/2005 18:18 14ÿ336 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
15/04/2005 18:11 18ÿ512 GDIPFONTCACHEV1.DAT
12/03/2005 09:57 5ÿ906ÿ740 IconCache.db
3 fichier(s) 5ÿ939ÿ588 octets
7 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\NetworkService\Application Data
11/03/2005 23:59 <REP> .
11/03/2005 23:59 <REP> ..
11/03/2005 23:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data
11/03/2005 23:59 <REP> .
11/03/2005 23:59 <REP> ..
11/03/2005 23:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\WINDOWS\system32\config\systemprofile\Application Data
11/03/2005 23:58 <REP> .
11/03/2005 23:58 <REP> ..
11/03/2005 23:58 <REP> Microsoft
11/03/2005 23:58 62 desktop.ini
1 fichier(s) 62 octets
3 Rp(s) 18ÿ458ÿ951ÿ680 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data
11/03/2005 23:58 <REP> .
11/03/2005 23:58 <REP> ..
12/03/2005 09:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rp(s) 18ÿ458ÿ947ÿ584 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\WINDOWS\Tasks
03/09/2005 05:24 266 AA8339A39180AC9B.job
02/09/2005 17:44 266 B1DF9FCD93981BF1.job
31/08/2005 12:17 270 A9BC12CC91838A5C.job
12/03/2005 17:50 392 FRU Task #Hewlett-Packard#hp psc 1200 series#1110642610.job
12/03/2005 10:15 586 Norton AntiVirus - Analyser mon ordinateur - Michel.job
11/03/2005 23:56 6 SA.DAT
11/03/2005 23:54 65 desktop.ini
11/03/2005 23:54 <REP> .
11/03/2005 23:54 <REP> ..
7 fichier(s) 1ÿ851 octets
2 Rp(s) 18ÿ458ÿ947ÿ584 octets libres
******************************************
## Répertoires de Program files
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\Program Files
15/07/2006 14:17 <REP> .
15/07/2006 14:17 <REP> ..
15/05/2005 23:56 <REP> Adobe
14/03/2005 22:24 <REP> Analog Devices
14/07/2006 16:54 <REP> a-squared
02/07/2006 12:25 <REP> AvantGo Connect
22/04/2006 07:38 <REP> Azureus
29/11/2005 07:07 <REP> Borland
25/06/2006 00:27 <REP> Bullfrog
13/04/2005 20:48 <REP> CDex_150
03/02/2006 07:18 <REP> Cisco Systems
02/07/2006 12:25 <REP> Common Files
11/03/2005 23:54 <REP> ComPlus Applications
12/03/2005 18:47 <REP> Copernic Desktop Search
14/07/2006 13:11 <REP> DivX
08/04/2005 19:36 <REP> DJGPP
07/04/2006 20:28 <REP> EA GAMES
27/03/2005 13:15 <REP> ffdshow
15/07/2006 14:17 <REP> Fichiers communs
15/06/2005 17:16 <REP> Free.fr
24/02/2006 17:24 <REP> Google
12/03/2005 17:49 <REP> Hewlett-Packard
05/03/2006 14:36 <REP> Indy 10 for Delphi 7
16/06/2006 00:19 <REP> Internet Explorer
14/07/2006 13:12 <REP> Invisible Secrets 4
14/07/2006 12:25 <REP> Java
26/11/2005 03:19 <REP> Jowood
13/04/2005 20:28 <REP> Lavalys
14/07/2006 12:53 <REP> Lavasoft
14/07/2006 12:46 <REP> Malware-Wipe
07/11/2005 19:09 <REP> Matroska Pack
07/11/2005 20:00 <REP> Media Player Classic
12/03/2005 11:33 <REP> Messenger
17/04/2006 19:48 <REP> MessengerPlus! 3
02/07/2006 12:25 <REP> Microsoft ActiveSync
12/03/2005 14:37 <REP> microsoft frontpage
12/03/2005 14:37 <REP> Microsoft Office
11/03/2006 13:39 <REP> Mindscape
14/07/2006 16:56 <REP> mIRC
12/03/2005 09:32 <REP> Movie Maker
04/06/2006 10:54 <REP> Mozilla Firefox
11/03/2005 23:53 <REP> MSN Gaming Zone
18/01/2006 20:10 <REP> MSN Messenger
12/03/2005 09:30 <REP> NetMeeting
13/07/2006 07:21 <REP> Norton Internet Security
18/04/2006 18:47 <REP> Outlook Express
31/08/2005 19:00 <REP> Philips
03/09/2005 05:23 <REP> Proc Draw Funk
24/03/2005 23:21 <REP> QuickTime
26/01/2006 22:02 <REP> RaPiZ PSP Software
31/08/2005 21:35 <REP> Real
26/12/2005 00:30 <REP> Real Alternative
31/08/2005 21:26 <REP> RM-X Player V3
03/04/2005 21:04 <REP> Roxio
11/03/2005 23:55 <REP> Services en ligne
14/07/2006 20:36 <REP> Softnyx
07/04/2006 17:32 <REP> Sterela
10/07/2005 23:22 <REP> SuperCopier
19/02/2006 12:57 <REP> Symantec
12/03/2005 11:10 <REP> SymNetDrv
18/06/2005 21:18 <REP> Teamspeak2_RC2
08/04/2006 02:22 <REP> Terminal Reality
05/04/2005 21:44 <REP> TextPad 4
18/05/2006 18:02 <REP> Ubisoft
02/07/2006 12:26 <REP> ViaMichelin
18/06/2006 16:45 <REP> VideoLAN
16/10/2005 14:08 <REP> Visicom Media
17/07/2005 21:20 <REP> Webteh
18/03/2005 21:25 <REP> Winamp
21/06/2005 19:45 <REP> Windows Journal Viewer
16/05/2006 23:52 <REP> Windows Media Player
12/03/2005 09:30 <REP> Windows NT
19/06/2005 16:59 <REP> WinRAR
13/07/2006 19:09 <REP> World of Warcraft
26/06/2006 21:57 <REP> WowCartographe
11/03/2005 23:56 <REP> xerox
08/04/2006 12:51 <REP> Yahoo!
0 fichier(s) 0 octets
77 Rp(s) 18ÿ458ÿ943ÿ488 octets libres
******************************************
## Popups autorisées
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
lop.com REG_SZ
www.lop.com REG_SZ
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ
searchweb2.com REG_SZ
www.searchweb2.com REG_SZ
---------- C:\DOCUMENTS AND SETTINGS\BASTIEN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\GDNWYDPL.DEFAULT\HOSTPERM.1
******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\WINDOWS
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 20BF-9225
Rpertoire de C:\WINDOWS
*************** Fin du rapport ****************
Marsh Posté le 15-07-2006 à 14:44:04
la manip avec le désinstallateur du sponsor de messenger plus n'a visiblement été que partielle
1/ Télécharge :
- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
*****Copie ce qui suit dans un bloc-notes et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****
3/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.ucksfnyknhbjcpzs.com/If [...] UEivw.html
O2 - BHO: (no name) - {2A19B2C7-F66A-AC31-131B-5B2DBD4A83EC} - C:\DOCUME~1\Michel\APPLIC~1\SIGNME~1\Cool once.exe (file missing)
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Program Files\Media-Codec\isaddon.dll (file missing)
O2 - BHO: (no name) - {6726FC6E-0817-E97B-E10D-0A276AAFB45A} - C:\DOCUME~1\Bastien\APPLIC~1\SIGNME~1\Cool once.exe (file missing)
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Program Files\Media-Codec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [PLATFORM ARMY TICK BLEH] C:\Documents and Settings\All Users\Application Data\Option amok platform army\View meet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Beepholdliescdrom] C:\Documents and Settings\All Users\Application Data\Bold List Beep Hold\BORE32.exe
O4 - HKCU\..\Run: [axisfirst] C:\DOCUME~1\Bastien\APPLIC~1\PROCDR~1\Balmfree.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll (file missing)
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
4/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
| Citation : Ouvrir un dossier, n'importe lequel. Aller dans : |
5/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :
C:\Documents and Settings\All Users\Application Data\Option amok platform army <- le dossier
C:\Documents and Settings\Bastien\Application Data\Proc Draw Funk <- le dossier
C:\Documents and Settings\Jeremy\Application Data\Proc Draw Funk <- le dossier
C:\Documents and Settings\Jeremy\Application Data\Sign meow hope <- le dossier
C:\Documents and Settings\Michel\Application Data\Sign meow hope <- le dossier
c:\Program Files\Adverts <- le dossier
C:\Program Files\Media-Codec <- le dossier
C:\Program Files\Malware-Wipe <- le dossier
C:\Program Files\Proc Draw Funk <- le dossier
6/ Vide la corbeille.
7/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :
| Citation : del /a C:\WINDOWS\Tasks\AA8339A39180AC9B.job |
valide par entrée,
recommence avec :
| Citation : del /a C:\WINDOWS\Tasks\B1DF9FCD93981BF1.job |
| Citation : del /a C:\WINDOWS\Tasks\A9BC12CC91838A5C.job |
puis ferme la fenetre de commande.
8/ Démarrer/exécuter, tape regedit et valide par entrée.
Va à la clé HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
dans le panneau de droite, supprime les 4 valeurs suivantes :
| Citation : op.com |
Puis ferme regedit.
9/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
10/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
Marsh Posté le 15-07-2006 à 15:11:01
J'ai pu tout faire sauf supprimer :
c:\Program Files\Adverts <- le dossier
C:\Program Files\Media-Codec <- le dossier
Car les dossiers n'existaient pas.
Voici le nouveau rapport :
Logfile of HijackThis v1.99.1
Scan saved at 15:07:27, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\DOCUME~1\Bastien\LOCALS~1\Temp\Rar$EX01.984\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsec [...] rf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
A premiere vue, je n'ai plus de pop-up d'informations d'infections de spywares , ca a donc du marcher
JE vous en remercie 
Sujets relatifs:
- Brut Force Attack (casser les passwords des .rar)
- OHPE ver 4.12_23
- Aidez-moi Svp (OHPE ver 4.12_23 )
- attack trés frequente sur le net
- Under attack?
- Spyware attack !! je sollicite votre bienveillance...
- Attack de Helkern
- Google under attack ?
- Soft d'attack, des risques pour celui qui l'utilise??
- jana -> Server: -ERR Brute Force Attack ??
Marsh Posté le 15-07-2006 à 13:25:02
Bonjour à tous,
J'ai trouvé ce forum en cherchant une solution pour détruire ce spyware et virus... J'ai trouvé plusieurs post la dessus donc voici le log de Hijackthis réalisé à l'instant :
Logfile of HijackThis v1.99.1
Scan saved at 13:20:12, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Media-Codec\isamonitor.exe
C:\Program Files\Media-Codec\pmsngr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Media-Codec\pmmon.exe
C:\Program Files\Media-Codec\isamini.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Messenger\msmsgs.exe
C:\DOCUME~1\Bastien\LOCALS~1\Temp\Rar$EX00.078\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.ucksfnyknhbjcpzs.com/If [...] UEivw.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsec [...] rf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2A19B2C7-F66A-AC31-131B-5B2DBD4A83EC} - C:\DOCUME~1\Michel\APPLIC~1\SIGNME~1\Cool once.exe (file missing)
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Program Files\Media-Codec\isaddon.dll
O2 - BHO: (no name) - {6726FC6E-0817-E97B-E10D-0A276AAFB45A} - C:\DOCUME~1\Bastien\APPLIC~1\SIGNME~1\Cool once.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Program Files\Media-Codec\iesplugin.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PLATFORM ARMY TICK BLEH] C:\Documents and Settings\All Users\Application Data\Option amok platform army\View meet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Beepholdliescdrom] C:\Documents and Settings\All Users\Application Data\Bold List Beep Hold\BORE32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [axisfirst] C:\DOCUME~1\Bastien\APPLIC~1\PROCDR~1\Balmfree.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Voici le log de Smifraudfix à l'instant aussi : (fonction 1)
SmitFraudFix v2.70
Rapport fait à 13:24:11,03, 15/07/2006
Executé à partir de C:\Documents and Settings\Bastien\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bastien\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Bastien\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
MErci de votre aide
A bientot