Richfind toolbar - spyware invirable

Richfind toolbar - spyware invirable - Sécurité - Windows & Software

Marsh Posté le 03-09-2004 à 18:20:48    

Salut, j'aurais besoin d'un peu d'aide.
J'ai choppé une pourriture, qui me réinstalle sans cesse une barre IE en rapport avec le site "richfind.com", et me met cette adresse en page de démarrage à chaque fois. La barre s'appelle "win32", j'ai beau la désinstaller avec "ajout/suppr de programmes", elle revient tj...
 
J'ai scanné mon pc avec "ad-aware" et "a²", mis à jour, et rien à faire ça continue.
 
J'ai fait un log Hijackthis en m'aidant des indications que j'ai trouvées dans d'autres topic, le voici :
 
Logfile of HijackThis v1.98.2
Scan saved at 18:16:47, on 03/09/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Keyboard\speedkey.exe
C:\WINDOWS\SOINTGR.EXE
C:\Program Files\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ZoneAlarm\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\VISTASCA\vsaccess.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis19802.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.16.201/sb/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.terra.es/personal8/robrimer/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.terra.es/personal8/robrimer/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://66.40.16.201/sb/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://66.40.16.201/sb/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.terra.es/personal8/robrimer/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.16.201/sb/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O1 - Hosts: 193.125.201.50 msn.com
O1 - Hosts: 193.125.201.50 search.msn.com
O1 - Hosts: 66.28.33.54 auto.search.msn.com
O1 - Hosts: 193.125.201.46 thehun.net
O1 - Hosts: 193.125.201.46 www.thehun.net
O1 - Hosts: 193.125.201.46 thehun.com
O1 - Hosts: 193.125.201.46 www.thehun.com
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\Dap\DAPBHO.dll
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\Dap\DAPIEBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEHelper - {5d9170ad-b20c-42f0-be51-6e8015e3682d} - C:\WINDOWS\System32\Q140612.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\Dap\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: win32 - {C94158E1-6151-4442-ABE6-FD53D6534EFB} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\win32.dll
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Program Files\Microsoft Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - Startup: UMAX VistaAccess.lnk = C:\Program Files\VISTASCA\vsaccess.exe
O4 - Global Startup: UMAX VistaAccess.lnk = C:\WINDOWS\VISTASCAN\vsaccess.exe
O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Program Files\DynDNS-Updater\ddutray.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
O12 - Plugin for .csm: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .goa: C:\Program Files\Internet Explorer\Plugins\nppmpax.dll
O12 - Plugin for .goac: C:\Program Files\Internet Explorer\Plugins\npchatg.dll
O12 - Plugin for .gob: C:\Program Files\Internet Explorer\\Plugins\nppmp2.dll
O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .pdb: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Program Files\Internet Explorer\Plugins\npchime.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] defbb7eddc
O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://delivery.inet-traffic.com/intdel.exe
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/297263 [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4226124123
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/fr/wowbeta/Si.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win32) - http://searchfind.info/bar/win32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E34769E-4BA9-4763-B1C9-EC9DBA55247E}: NameServer = 80.10.246.130 80.10.246.3
O19 - User stylesheet: c:\windows\java\my.css
 
 
Quelqu'un pourrait me dire comment faire pour me débarasser de cette pourriture ?!

Reply

Marsh Posté le 03-09-2004 à 18:20:48   

Reply

Marsh Posté le 03-09-2004 à 18:27:17    

Oula, ce que je viens de voir dans la partie "host" ne me plait pas trop... Mais j'ai du mal à comprendre ce log quand même, qqn pourrait me filer un coup de main ?

Reply

Marsh Posté le 03-09-2004 à 18:40:36    


 
--------------------------1
 
Télécharge CoolWebSchredder sur:  
http://www.spywareinfo.com/~merijn/downloads.html  
ou  
http://www.lurkhere.com/~nicefiles/index.html  
Laisse-le en attente sur ton bureau.  
 
Munis-toi de la dernière version d'AdAware SE sur:  
http://lavasoft.element5.com/french/support/download/  
Pack français sur:  
http://www.webmatze.tk/  
télécharger->installer.  
 
--------------------------2
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.16.201/sb/index.html  
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.terra.es/personal8/robrimer/search.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.terra.es/personal8/robrimer/search.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://66.40.16.201/sb/index.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://66.40.16.201/sb/index.html  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.terra.es/personal8/robrimer/search.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.16.201/sb/index.html  
R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)  
O1 - Hosts: 193.125.201.50 msn.com  
O1 - Hosts: 193.125.201.50 search.msn.com  
O1 - Hosts: 66.28.33.54 auto.search.msn.com  
O1 - Hosts: 193.125.201.46 thehun.net  
O1 - Hosts: 193.125.201.46 www.thehun.net  
O1 - Hosts: 193.125.201.46 thehun.com  
O1 - Hosts: 193.125.201.46 www.thehun.com
O2 - BHO: IEHelper - {5d9170ad-b20c-42f0-be51-6e8015e3682d} - C:\WINDOWS\System32\Q140612.dll  
O3 - Toolbar: win32 - {C94158E1-6151-4442-ABE6-FD53D6534EFB} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\win32.dll  
 
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] defbb7eddc  
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/297263 [...] 601_fr.cab  
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win32) - http://searchfind.info/bar/win32.cab
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
C:\WINDOWS\Downloaded Program Files\CONFLICT.1 <-dossier
 
Toujours en mode sans échec:
-Passe CollWebSchredder
-Lance une analyse complète Ad-Aware SE. Sélectionne et supprime tout ce qu'il trouvera.
 
--------------------
 
Redémarre en mode normal. La barre doit avoir disparu ???
Rétablis tes pages internet.

Reply

Marsh Posté le 03-09-2004 à 19:24:12    

Merci beaucoup !
J'ai fait tout ce que tu as dit, sauf que je n'arrivais pas à voir le dossier conflict.1 ; j'avais pourtant tout bien réglé... En commande ms-dos, ce dossier n'existait pas, mais il y avait un conflict.2 - je l'ai violemment supprimé, de même que le fichier win32.dll qui trainait, invisible, dans ce même dossier.
J'ai aussi viré le truc O17, car d'après hijackthis, ça peut être un truc qui ralenti les pages internet avec beaucoup d'images etc, et justement je souffrais de ce problème donc... pas de pitié !
 
Là ça m'a l'air d'aller beaucoup mieux, le texte que je tape actuellement s'affiche immédiatement (c'était pas le cas avant) et la barre a disparu ; j'espère qu'elle ne reviendra plus cette fois (à côté des trucs pour casino etc, le lien "teen porn" je me voyais mal le laisser...)
 
Un grand merci en tout cas ! :jap :jap:

Reply

Marsh Posté le 03-09-2004 à 19:45:37    

Le O17, NameServer = 80.10.246.130 80.10.246.3 c'est Wanadoo, non?
 
Par contre, j'ai oublié ça :
O19 - User stylesheet: c:\windows\java\my.css  
 
S'il y est toujours (il est possible que CWS l'ait supprimé, déjà), fixe cette ligne.
 
A+! :hello:

Reply

Marsh Posté le 03-09-2004 à 20:35:01    

Tu as entièrement raison, je me suis trompé dans mon post précédent, c'est le O19 que j'ai viré, pas le O17 :jap:
 
Pour le moment RAS, aucune trace de ces cochonneries, je commence à croire que j'en suis débarassé :love:
 
Par contre, comme dit j'ai retrouvé ma vitesse de frappe des "réponses rapide" et de surf sur les pages chargées, mais mon programme de peer-to-peer, celui qu'on a pas le droit de citer sur ce forum ( :D ) est tj aussi lent/inutilisable - je croyais que ça résoudrait le pb mais non :sweat:

Reply

Marsh Posté le 04-09-2004 à 11:58:28    

Vois tout de même si "conflict.1" n'est pas caché :
 
Télécharge "PocketKillBox" sur :  
http://download.broadbandmedic.com/  
 
Pose-le sur ton bureau. Lance-le.  
Dans "Paste full path of file.." ->copie/colle: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\win32.dll  
 
Tu peux le faire avec cette fenêtre ouverte, ce sera plus pratique pour le copier/coller.
 
Clique "Delete File". (La croix blanche)
 
S'il le trouve, supprime le dossier: c:\!Submit, qui est son dossier de backups.
 

Reply

Marsh Posté le 05-09-2004 à 00:22:44    

Merci, j'ai vérifié, mais rien de tout ça n'existe sur mon dd.
Pour le moment, j'ai plus aucun problème c'est chouette !

Reply

Marsh Posté le 05-09-2004 à 10:17:25    


OKI! Alors, à +, Shaffan! :hello:

Reply

Marsh Posté le 05-09-2004 à 12:28:35    

@+ Acrobaze :hello:

Reply

Marsh Posté le 05-09-2004 à 12:28:35   

Reply

Marsh Posté le 06-09-2004 à 22:15:04    

J'ai aussi ce prob, mais moi c'est pas la toolbar, c'est la fenetre IE qui s'ouvre au bout de 10-15 min, et ca me met for upgrade to win32 press yes...
J'ai fais tout comme dans le topic, mais ca revient sans cesse.
Ca commence grave a me saouler, qqu a une solution pour éviter que ca s'auto ouvre -_-


Message édité par unreal11111 le 06-09-2004 à 22:23:38
Reply

Marsh Posté le 06-09-2004 à 22:23:05    

Mouarf dsl pour le double poste, erreur -_-


Message édité par unreal11111 le 06-09-2004 à 22:23:26
Reply

Marsh Posté le 06-09-2004 à 22:26:43    

poste un log de Hijack This et on verra bien

Reply

Marsh Posté le 06-09-2004 à 22:29:44    

Edit because trop long D:


Message édité par unreal11111 le 06-09-2004 à 22:34:22
Reply

Marsh Posté le 06-09-2004 à 22:30:47    

récupère la version 1.98.2 sur le topic Spyware (lien chez computercops) et remet un log :)
 
edit : y a du boulot en tout cas :D


Message édité par minipouss le 06-09-2004 à 22:32:58
Reply

Marsh Posté le 06-09-2004 à 22:33:58    

Ok !
 
 
Logfile of HijackThis v1.98.2
Scan saved at 22:33:40, on 06/09/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
C:\WINDOWS\System32\jmkvzp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Lexmark X74-X75\lxbbbmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\etmjq.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Musashi\Bureau\cyril\NNscript\mirc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\PowerStrip\pstrip.exe
C:\Program Files\Opera75\opera.exe
C:\Documents and Settings\Musashi\Bureau\HijackThis.exe
 
R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: IEHelper - {02ccbca7-9689-49a0-a544-2fd23d3490a1} - C:\WINDOWS\System32\Q48544703.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6EAC3756-B311-58C5-8623-65550DDE2F6B} - C:\WINDOWS\System32\aonnfj.dll
O2 - BHO: (no name) - {840011101990211011083097083114101051} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [yfpeigf] C:\WINDOWS\System32\jmkvzp.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [JA Cfg Util v2] jacfg2.exe
O4 - HKCU\..\Run: [Udot] C:\Documents and Settings\Musashi\Application Data\roas.exe
O4 - HKCU\..\Run: [Xye] C:\WINDOWS\System32\etmjq.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaCH62.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signupte [...] curity.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPai [...] nstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} (Loader Class) - http://213.11.100.127/websetup/websetup2.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win) - http://searchfind.info/bar/win.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_CH.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
 

Reply

Marsh Posté le 06-09-2004 à 22:45:48    

Pour les process :

Citation :

C:\WINDOWS\System32\jmkvzp.exe
C:\WINDOWS\System32\etmjq.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE ça a l'air d'être ok celui, c'est un truc anticrack de protection pour les logiciels, fait par Macrovision
C:\Program Files\PowerStrip\pstrip.exe [:ddr555] c'est quoi ça?


 
Les lignes à fixer sont les suivantes

Citation :

R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: IEHelper - {02ccbca7-9689-49a0-a544-2fd23d3490a1} - C:\WINDOWS\System32\Q48544703.dll
O2 - BHO: (no name) - {6EAC3756-B311-58C5-8623-65550DDE2F6B} - C:\WINDOWS\System32\aonnfj.dll
O2 - BHO: (no name) - {840011101990211011083097083114101051} - (no file)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [yfpeigf] C:\WINDOWS\System32\jmkvzp.exe
O4 - HKLM\..\Run: [JA Cfg Util v2] jacfg2.exe
O4 - HKCU\..\Run: [Udot] C:\Documents and Settings\Musashi\Application Data\roas.exe
O4 - HKCU\..\Run: [Xye] C:\WINDOWS\System32\etmjq.exe
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaCH62.exe
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signupte [...] curity.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPai [...] nstall.dll
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} (Loader Class) - http://213.11.100.127/websetup/websetup2.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win) - http://searchfind.info/bar/win.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_CH.cab

Donc en fait il faut que tu arrête les deux processus bizarre donnés en haut jmkvzp.exe et etmjq.exe
ensuite tu relances HJ et tu fixes les lignes données ci-dessus.
 
puis tu refais un log et tu postes le résultat ici pour voir si des choses ont été recrées ;)

Reply

Marsh Posté le 06-09-2004 à 22:52:10    

Pour Pstrip, c'est PowerStrip, un prog qui peut augmenter le gamma, etc..
Je l'utilise pour des jeux qui ont des maps trop sombe ;o
Ensuite quand j'ai viré, j'ai mon truc richfind qui me fait comme d'hab un uninstall, qui le vire de ajouter supprimer mais y revient sans cesse,mais on verra bien D:
Voici le new log :
 
 
Logfile of HijackThis v1.98.2
Scan saved at 22:52:02, on 06/09/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Lexmark X74-X75\lxbbbmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Musashi\Bureau\cyril\NNscript\mirc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\PowerStrip\pstrip.exe
C:\Program Files\Opera75\opera.exe
C:\Documents and Settings\Musashi\Bureau\HijackThis.exe
 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binar [...] _FR_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
 
 

Reply

Marsh Posté le 06-09-2004 à 22:56:35    

niveau log de Hijack moi je ne vois plus rien de mauvais. Quand Acrobaze repassera par là il pourra te donner son avis aussi.
 
bonne nuit :hello:

Reply

Marsh Posté le 06-09-2004 à 22:57:52    

Ok je matterais si ca revient ^^
Merci pour ton aide déjà.
Bonne nuit :P

Reply

Marsh Posté le 07-09-2004 à 19:41:11    


It's so good! :lol:
 
:hello:

Reply

Marsh Posté le 07-09-2004 à 20:23:30    

ah te voila toi !!!
 
:D
 
:hello:

Reply

Marsh Posté le 07-09-2004 à 22:50:46    

Effectivement, un grand merci, ce n'est plus revenu de la journée ! :D

Reply

Marsh Posté le 08-09-2004 à 10:03:51    

cool :jap:

Reply

Marsh Posté le 08-09-2004 à 10:05:23    

O1 - Hosts: 193.125.201.46 www.thehun.com  <- hi hi c'est pas bo les sites de pétanque


Message édité par darxmurf le 08-09-2004 à 10:45:29

---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 08-09-2004 à 10:31:38    

salut toi :hello:
 
c'est quoi le rapport avec le topic :??: (si j'ose m'exprimer ainsi :D)


Message édité par minipouss le 08-09-2004 à 10:31:54
Reply

Marsh Posté le 08-09-2004 à 10:45:06    

bah il avait ça dans son host... j'ai modifié :D désolé pour la clarté :D


Message édité par darxmurf le 08-09-2004 à 10:45:46

---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 23-09-2004 à 18:34:50    

Bonjour,
 
J'ai le même problème qu'un utilisateur avec la toolbar  'Richfind' qui aime trop mon PC pour le quitter (PC DELL sur XP Pro SP2) !
Par contre, je suis novice en la matière : je ne sais pas comment vous éditez toutes les lignes de 'running process' et ce que vous en faites par la suite. D'autre part, j'ai téléchargé les logiciels dont parlait l'utilisateur ACROBAZE.
 
Quelqu'un peut-il me communiquer les étapes pas à pas en des termes explicites pour débutant (voire pour nul) ?
 
Merci à l'avance

Reply

Marsh Posté le 23-09-2004 à 19:19:39    

Re,
 
J'ai finalement trouvé comment éditer ce qui suit mais cela ne me dit pas quoi enlever pour faire disparaitre cette barre 'Richfind'.
 
Merci de votre aide
 
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Temp\Outils antispy\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Richfind - {87DA127F-EB4D-4D57-92A3-9EEEA4D8B75B} - C:\WINDOWS\system32\Q12371390.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Richfind - {9A12F51F-602A-49F2-AB69-A7CE58CA4515} - C:\WINDOWS\system32\Q12371390.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Program Files\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: Richfind (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab

Reply

Marsh Posté le 23-09-2004 à 19:27:17    

Télécharge CoolWebSchredder sur:  
 
http://www.lurkhere.com/~nicefiles/index.html  
Laisse-le en attente sur ton bureau.  
 
---------------------------
 
Redémarre en mode sans échec, lance HijackThis et coche:
 
-toutes les lignes R0 et R1 avec "Richfind"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank  
R3 - URLSearchHook: Richfind - {87DA127F-EB4D-4D57-92A3-9EEEA4D8B75B} - C:\WINDOWS\system32\Q12371390.dll  
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O3 - Toolbar: Richfind - {9A12F51F-602A-49F2-AB69-A7CE58CA4515} - C:\WINDOWS\system32\Q12371390.dll  
 
O9 - Extra button: Richfind (HKLM)  
 
puis coche "Fix checked". Ferme HijackThis.
 
Toujours en sans échec, lance "CoolWebSchredder".
 
--------------------
 
Redémarre en mode normal.
 
Poste un nouvel HijackThis.


Message édité par acrobaze le 23-09-2004 à 19:28:30
Reply

Marsh Posté le 24-09-2004 à 10:33:26    

Bonjour,
 
La barre 'Richfind' est partie !!! Merci beaucoup.
 
N'hésitez pas à m'informer si vous trouvez d'autres choses bizarre ci dessous :
 
Logfile of HijackThis v1.97.7
Scan saved at 10:22:18, on 24/09/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Temp\Outils antispy\HijackThis.exe
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {52AB676E-DDDD-4CA0-AA21-029911576750} - C:\WINDOWS\system32\Q12371390.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Program Files\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
 

Reply

Marsh Posté le 24-09-2004 à 18:09:56    

Il te reste ceci à fixer, qui est totalement inconnu, donc à priori suspect:
 
O2 - BHO: (no name) - {52AB676E-DDDD-4CA0-AA21-029911576750} - C:\WINDOWS\system32\Q12371390.dll  
 
C'est un Bho, donc ferme bien tt les fenêtres dont celle d'IE, avant de fixer. Reboot que ce soit pris en compte.

Reply

Marsh Posté le 24-09-2004 à 19:40:03    

Bonjour,
 
La ligne dont vous parlez (en 02) n'apparait plus dans hijack.
 
Tout doit donc être revenu dans l'ordre !
 
Merci encore pour vos compétences
 
Cordialement

Reply

Marsh Posté le 22-10-2004 à 17:18:15    

Bonjour j'ai le même probleme avec mon ordinateur j'ai toujours cette barre RICHFIND qui apparaît quand j'ouvre explorer !!! voici mon log de hijackthis !
 
 
Logfile of HijackThis v1.98.2
Scan saved at 11:16:56, on 2004-10-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Sylvain\Mes documents\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.akkjtrlysvndfhbe.net/Rb [...] 0Zg36.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3CE6F034-7D3A-1F10-CE8A-D4354CA10B39} - C:\DOCUME~1\Sylvain\APPLIC~1\STYLED~1\webfirst.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Online Ace User Balm] C:\Documents and Settings\All Users\Application Data\Bias plan online ace\ITCH SOFT.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [manager flag] C:\DOCUME~1\Sylvain\APPLIC~1\exitamen\winkindsoft.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Richfind - {AC96D80A-B8D6-44E9-BDDF-8DD3EE4D381A} - C:\WINDOWS\system32\Q291350750.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://210.80.76.119/object/Dldrv.ocx
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://i.a.cnn.net/cnn/resources/cult3d/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {998F4957-54E2-47EC-B15B-54125A9DD3B0} (RxTxClient Class) - http://www.meetstream.com/activex/ [...] lients.cab
O16 - DPF: {A9F2611F-C7CE-49D7-AEE9-17E9028711C1} (SafeGuard Class) - http://www.meetstream.com/activex/login4/login.cab
O16 - DPF: {BFD90062-6B5E-4F8F-87B1-5F022C14E32F} (ActiveReceiver Control) - http://www.meetstream.com/activex/ [...] ceiver.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tec [...] mAData.dll
O16 - DPF: {D32E12A5-F4E1-4F99-8C80-4A0C494430A5} (MsgAlertButton Class) - http://www.meetstream.com/activex/ [...] Button.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tec [...] veData.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/conten [...] loader.cab
 
AIDEZ MOI S.V.P

Reply

Marsh Posté le 22-10-2004 à 17:29:09    

Encore pas mal de trucs à virer.
 
Do it yourself: http://www.hijackthis.de/index.php?langselect=french

Reply

Marsh Posté le 22-10-2004 à 17:38:10    

Reply

Marsh Posté le 22-10-2004 à 18:08:21    

civic_lowrider
 
On dirait que tu as plusieurs redirections qui cumulent.
 
Commence par faire ceci:
 
Télécharge et lance cet uninstall:
 
http://lop.com/help.html#uninstall
 
Si SpyBot ou un autre logiciel de sécurité t'empêche de le faire (message de sécurité):
-IE->outils->options internet->sécurité
-Sites sensibles : enlève Lop.com
-Télécharge le fichier
-Remets Lop.com en site sensible
-Lance le fichier.
 
Redémarre. Poste un nouvel HijackThis.

Reply

Marsh Posté le 25-10-2004 à 22:00:44    

Acrobaze a écrit :

civic_lowrider
 
On dirait que tu as plusieurs redirections qui cumulent.
 
Commence par faire ceci:
 
Télécharge et lance cet uninstall:
 
http://lop.com/help.html#uninstall
 
Si SpyBot ou un autre logiciel de sécurité t'empêche de le faire (message de sécurité):
-IE->outils->options internet->sécurité
-Sites sensibles : enlève Lop.com
-Télécharge le fichier
-Remets Lop.com en site sensible
-Lance le fichier.
 
Redémarre. Poste un nouvel HijackThis.
 
 
 
bonjour,
j'avais déjà mis mon message à la suite des autres dans sécurité, et on m'a reféré ici.  J'avais fait une recherche sous "richfind", et aucune réponse n'était sortie.  Alors cé pour ça que je l'avais édité.
 
Quelqu'un pourrait m'aider?
 
Bonjour à tous,    
 
je ne connais rien à l'ordi.  Et voilà, que je me retrouve avec une page au démarrage et une barre d'outil de Richfind.  Comment désinstaller?  
pourriez-vous me dire la procédure exacte pour que je puisse vous suivre et ne pas faire de gaffe  
 
Merci de prendre le temps de me répondre.  J'apprécie beaucoup.  
 
 
Logfile of HijackThis v1.98.2  
Scan saved at 1756, on 2004-10-24  
Platform: Windows XP SP1 (WinNT 5.01.2600)  
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)  
 
Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\WINDOWS\system32\spoolsv.exe  
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe  
C:\WINDOWS\Explorer.EXE  
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe  
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe  
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe  
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe  
C:\WINDOWS\sbnet\ShowBehind.exe  
C:\Program Files\QuickTime\qttask.exe  
C:\WINDOWS\System32\ctfmon.exe  
C:\Program Files\Messenger\msmsgs.exe  
C:\WINDOWS\System32\zcpk.exe  
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE  
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe  
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE  
C:\WINDOWS\System32\nvsvc32.exe  
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe  
C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe  
C:\WINDOWS\System32\wuauclt.exe  
C:\Program Files\Internet Explorer\iexplore.exe  
C:\Documents and Settings\Ginette Neault\Mes documents\hijackthis\HijackThis.exe  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens  
R3 - URLSearchHook: Richfind - {ED9A18CE-6FEB-47C8-B7AA-CE4E98C8CE1F} - C:\WINDOWS\System32\Q14791348.dll  
O2 - BHO: Richfind - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\Q14791348.dll  
O2 - BHO: (no name) - {1B8A6100-BA4C-28BF-8755-62550CAD2040} - C:\WINDOWS\System32\otmloanh.dll  
O2 - BHO: Richfind - {40789957-4551-4D2A-BBB4-46998272A83F} - C:\WINDOWS\System32\Q14791348.dll  
O2 - BHO: (no name) - {4BDC6E58-E21B-2AB9-8755-62550CAD2344} - C:\WINDOWS\System32\ejhb.dll  
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll  
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll  
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx  
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll  
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll  
O3 - Toolbar: Richfind - {E3DAF556-3CF9-470C-BA9E-596DF59B27E0} - C:\WINDOWS\System32\Q14791348.dll  
O3 - Toolbar: Richfind - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\Q14791348.dll  
O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l  
O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe"  
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"  
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"  
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe  
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup  
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install  
O4 - HKLM\..\Run: [ShowBehind] C:\WINDOWS\sbnet\ShowBehind.exe  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe  
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background  
O4 - HKCU\..\Run: [msn] msnmsgr.exe  
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe  
O4 - HKCU\..\Run: [Windows Compliant] tlghoa.exe  
O4 - HKCU\..\Run: [Uaal] C:\Documents and Settings\Ginette Neault\Application Data\erul.exe  
O4 - HKCU\..\Run: [Ksn] C:\WINDOWS\System32\zcpk.exe  
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html  
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html  
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html  
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html  
O9 - Extra button: Richfind - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\Q14791348.dll  
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O9 - Extra button: Richfind - {E3DAF556-3CF9-470C-BA9E-596DF59B27E0} - C:\WINDOWS\System32\Q14791348.dll  
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE  
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE  
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.c [...] 1/chat.cab  
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab  
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.c [...] acscom.cab  
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/049de9 [...] 601_fr.cab  
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4169352181  
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesui [...] tector.cab  
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab  
O17 - HKLM\System\CCS\Services\Tcpip\..\{5782FA67-BBDC-4D10-AD07-A3C83903FF22}: NameServer = 206.47.244.87 206.47.244.52  
O18 - Filter: text/html - {EF7560F8-1BD7-4F93-96CF-9F1B2B780F62} - C:\WINDOWS\System32\Q14791348.dll  
O18 - Filter: text/plain - {EF7560F8-1BD7-4F93-96CF-9F1B2B780F62} - C:\WINDOWS\System32\Q14791348.dll  
 
 
Merci beaucoup de prendre le temps de m'aider.  J'apprécie beaucoup.  Comme je suis lente, il va falloir que vous soyez patients pour la suite de vos suggestions.  
 
Ginette      
 
 
 

Reply

Marsh Posté le 26-10-2004 à 11:30:50    


---------1
 
Control Alt Suppr
Termine les processus: ShowBehind.exe   et zcpk.exe  
 
---------2
 
Télécharge CoolWebSchredder sur:
http://www.spywareinfo.com/~merijn/downloads.html
 
Laisse-le en attente sur ton bureau.
 
-----------3
 
Redémarre en mode sans échec.
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {ED9A18CE-6FEB-47C8-B7AA-CE4E98C8CE1F} - C:\WINDOWS\System32\Q14791348.dll  
 
O2 - BHO: Richfind - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\Q14791348.dll  
O2 - BHO: (no name) - {1B8A6100-BA4C-28BF-8755-62550CAD2040} - C:\WINDOWS\System32\otmloanh.dll  
O2 - BHO: Richfind - {40789957-4551-4D2A-BBB4-46998272A83F} - C:\WINDOWS\System32\Q14791348.dll  
O2 - BHO: (no name) - {4BDC6E58-E21B-2AB9-8755-62550CAD2344} - C:\WINDOWS\System32\ejhb.dll  
 
O4 - HKLM\..\Run: [ShowBehind] C:\WINDOWS\sbnet\ShowBehind.exe    
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe  
O4 - HKCU\..\Run: [Windows Compliant] tlghoa.exe  
O4 - HKCU\..\Run: [Uaal] C:\Documents and Settings\Ginette Neault\Application Data\erul.exe  
O4 - HKCU\..\Run: [Ksn] C:\WINDOWS\System32\zcpk.exe  
 
O9 - Extra button: Richfind - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\Q14791348.dll  
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O9 - Extra button: Richfind - {E3DAF556-3CF9-470C-BA9E-596DF59B27E0} - C:\WINDOWS\System32\Q14791348.dll  
 
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/049de9 [...] 601_fr.cab  
 
O18 - Filter: text/html - {EF7560F8-1BD7-4F93-96CF-9F1B2B780F62} - C:\WINDOWS\System32\Q14791348.dll  
O18 - Filter: text/plain - {EF7560F8-1BD7-4F93-96CF-9F1B2B780F62} - C:\WINDOWS\System32\Q14791348.dll  
 
 
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
 
C:\WINDOWS\sbnet\ShowBehind.exe  
Msbb.exe  
tlghoa.exe  
C:\Documents and Settings\Ginette Neault\Application Data\erul.exe  
C:\WINDOWS\System32\zcpk.exe  
 
Vide la corbeille.
 
Toujours en mode sans échrec, lance "CoolWebSchredder" (Fix->next)
 
-----------------4
 
Redémarre en mode normal. Poste un nouvel HijackThis.

Reply

Marsh Posté le 26-10-2004 à 20:34:11    

salut Acrobaze,
 
Cé très gentil à toi de me répondre.  Comme je l'ai écrit, je suis lente, et je ne connais pas grand chose à l'ordi.
 
Petite question:
dans ta procédure, tu écris au no 1
"Control Alt Suppr  
Termine les processus: ShowBehind.exe   et zcpk.exe "
 
kesse que je fais pour terminer les processus.... que tu mentionnes? il faut que tu me détailles Acrobaze pour le faire.  Merci encore.
 
au numéro 3, tu me m'indiques de cocher des lignes et de les fixer.  Comment je vais faire pour me rappeler de toutes les lignes que tu m'indiques, si internet explorer est fermé?  Je m'excuse mais...  
 
Merci beaucoup d'être patient.
 
Ginette
 
 

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed