Spyware infection (besoin d'aide)

Claude LaFrenière

14/12/2005 à 06:38

Bonjour *MEP* :

Bonjour, il y a quelques jours, en sortant mon ordinateur de veille, mon
fonds d'écran était devenu tout bleu avec un carré noir au centre où il était
inscrit en gros et en rouge SPYWARE INFECTION et ce message était inscrit en
dessous : Your system is infected with spyware. Windows recommends you to
use a spyware removal tool to prevent loss of important data and increase
system prefomance. Using this PC before having it cleaned from spyware
threats is highly discouraged. De plus, il y avait un message de windows
sécurité qui avisait de la situation.
J'ai commencé par scanner mon disque dure avec mon anti virus BitDefender
Professionnel (à jour) et il a éliminé 23 fichiers infectés. Je suis allée
chercher des antis spyware: RegFreeze, Winsos, FlowProtector et l'anti
spyware de microsoft. Tous ces logiciels ont détectés et effacé des fichiers
infectés, mais ce message d'infection ne veut pas partir et je ne suis pas
capable de sélectionner un fonds d'écran lorsque je vais dans mes propriétés
d'affichage. Est-ce que ceci signifie que je n'ai pas réussi à éliminer tous
les spywares ??? SVP !!! Est-ce que quelqu'un pourrait m'aider, je ne sais
plus quoi faire. Un gros merci à l'avance...

Utilise SpyBot Search & Destroy *en mode sans échec* pour virer ce truc...

S'il n'est pas en *mode sans échec* cela ne sera pas possible à cause des
processus générés par cette merde.

http://www.spybot.info/fr/download/index.html

idem avec ton AV et Adaware...

Pour être certain que tout est supprimé correctement,
après avoir utilisé SBS&D comme je t'ai mentionné,
fait un scan avec HijackThis, ne coche rien et envoie le résultat ici.

http://www.merijn.org/downloads.html

Je vais y voir.

Des pistes, des liens , etc. - pige aussi là-dedans:
http://climenole.serendipia.net/archives/17-Securite-et-Windows-XP-revisitee....html

Tiens-nous au courant.
:)
--
Claude LaFrenière [MVP] :-{)
courriel: http://viadresse.com?39135017
http://climenole.serendipia.net/

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Bonjour *MEP* :

Bonjour, il y a quelques jours, en sortant mon ordinateur de veille, mon
fonds d'écran était devenu tout bleu avec un carré noir au centre où il était
inscrit en gros et en rouge SPYWARE INFECTION et ce message était inscrit en
dessous : Your system is infected with spyware. Windows recommends you to
use a spyware removal tool to prevent loss of important data and increase
system prefomance. Using this PC before having it cleaned from spyware
threats is highly discouraged. De plus, il y avait un message de windows
sécurité qui avisait de la situation.
J'ai commencé par scanner mon disque dure avec mon anti virus BitDefender
Professionnel (à jour) et il a éliminé 23 fichiers infectés. Je suis allée
chercher des antis spyware: RegFreeze, Winsos, FlowProtector et l'anti
spyware de microsoft. Tous ces logiciels ont détectés et effacé des fichiers
infectés, mais ce message d'infection ne veut pas partir et je ne suis pas
capable de sélectionner un fonds d'écran lorsque je vais dans mes propriétés
d'affichage. Est-ce que ceci signifie que je n'ai pas réussi à éliminer tous
les spywares ??? SVP !!! Est-ce que quelqu'un pourrait m'aider, je ne sais
plus quoi faire. Un gros merci à l'avance...

Utilise SpyBot Search & Destroy *en mode sans échec* pour virer ce truc...

S'il n'est pas en *mode sans échec* cela ne sera pas possible à cause des
processus générés par cette merde.

http://www.spybot.info/fr/download/index.html

idem avec ton AV et Adaware...

Pour être certain que tout est supprimé correctement,
après avoir utilisé SBS&D comme je t'ai mentionné,
fait un scan avec HijackThis, ne coche rien et envoie le résultat ici.

http://www.merijn.org/downloads.html

Je vais y voir.

Des pistes, des liens , etc. - pige aussi là-dedans:
http://climenole.serendipia.net/archives/17-Securite-et-Windows-XP-revisitee....html

Tiens-nous au courant.
:)
--
Claude LaFrenière [MVP] :-{)
courriel: http://viadresse.com?39135017
http://climenole.serendipia.net/

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Vous avez filtré cet utilisateur ! Consultez son message

Bonjour *MEP* :

Bonjour, il y a quelques jours, en sortant mon ordinateur de veille, mon
fonds d'écran était devenu tout bleu avec un carré noir au centre où il était
inscrit en gros et en rouge SPYWARE INFECTION et ce message était inscrit en
dessous : Your system is infected with spyware. Windows recommends you to
use a spyware removal tool to prevent loss of important data and increase
system prefomance. Using this PC before having it cleaned from spyware
threats is highly discouraged. De plus, il y avait un message de windows
sécurité qui avisait de la situation.
J'ai commencé par scanner mon disque dure avec mon anti virus BitDefender
Professionnel (à jour) et il a éliminé 23 fichiers infectés. Je suis allée
chercher des antis spyware: RegFreeze, Winsos, FlowProtector et l'anti
spyware de microsoft. Tous ces logiciels ont détectés et effacé des fichiers
infectés, mais ce message d'infection ne veut pas partir et je ne suis pas
capable de sélectionner un fonds d'écran lorsque je vais dans mes propriétés
d'affichage. Est-ce que ceci signifie que je n'ai pas réussi à éliminer tous
les spywares ??? SVP !!! Est-ce que quelqu'un pourrait m'aider, je ne sais
plus quoi faire. Un gros merci à l'avance...

Utilise SpyBot Search & Destroy *en mode sans échec* pour virer ce truc...

S'il n'est pas en *mode sans échec* cela ne sera pas possible à cause des
processus générés par cette merde.

http://www.spybot.info/fr/download/index.html

idem avec ton AV et Adaware...

Pour être certain que tout est supprimé correctement,
après avoir utilisé SBS&D comme je t'ai mentionné,
fait un scan avec HijackThis, ne coche rien et envoie le résultat ici.

http://www.merijn.org/downloads.html

Je vais y voir.

Des pistes, des liens , etc. - pige aussi là-dedans:
http://climenole.serendipia.net/archives/17-Securite-et-Windows-XP-revisitee....html

Tiens-nous au courant.
:)
--
Claude LaFrenière [MVP] :-{)
courriel: http://viadresse.com?39135017
http://climenole.serendipia.net/

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

MEP

16/12/2005 à 00:11

Désolée pour le petit délai, pas assez de 24 hrs dans une journée... J'ai
fait le scan avec SBS&D en mode sans échec et il a éliminé quelques fichiers.
Maintenant je n'ai plus le message comme fonds d'écran, mais je ne suis
toujours pas capable de sélectionner un fonds dans les propriétés d'affichage.

Voilà, comme demandé, voici le résultat du scan avec Hijack This

Merci beaucoup pour ton aide, je n'y connais pas grand chose et j'étais un
peu perdue.

Logfile of HijackThis v1.99.1
Scan saved at 18:03:13, on 2005-12-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:progra~1softwinbitdef~1bdmcon.exe
C:Program FilesJavajre1.5.0_05binjusched.exe
C:Program FilesAdaptecEasy CD Creator 5DirectCDDirectCD.exe
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesHPhpcoretechhpcmpmgr.exe
C:Program FilesHPHP Software UpdateHPWuSchd2.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:PROGRA~1INCRED~1binIMApp.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSoftwinBitDefender
Communicatorxcommsvr.exe
C:Program FilesFichiers communsSoftwinBitDefender Scan Serverbdss.exe
C:Program FilesSoftwinBitDefender Professional Editionvsserv.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32wuauclt.exe
C:Documents and SettingsPatrick FrigonLocal SettingsTemporary Internet
FilesContent.IE5P2RHYX9PHijackThis[1].exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.radiocanada.ca/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://home.fr.netscape.com/fr/home/winsearch200.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,Default_Search_URL =
http://minisearch.startnow.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src");
(C:Documents and SettingsPatrick FrigonApplication
DataMozillaProfilesdefaultrtx4r27.sltprefs.js)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: C:WINDOWSadsldpbe.dll - {7507739F-BC2E-4DC3-B233-816783C25DC9} -
C:WINDOWSadsldpbe.dll (file missing)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
O4 - HKLM..Run: [BDMCon] C:progra~1softwinbitdef~1bdmcon.exe
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program
FilesJavajre1.5.0_05binjusched.exe
O4 - HKLM..Run: [Windows DLL Loader] C:WINDOWSSystem32wvcabdd.exe
O4 - HKLM..Run: [Winamp Agent] C:WINDOWSSystem32winamp.exe
O4 - HKLM..Run: [AdaptecDirectCD] "C:Program FilesAdaptecEasy CD
Creator 5DirectCDDirectCD.exe"
O4 - HKLM..Run: [HPDJ Taskbar Utility]
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe"
-atboottime
O4 - HKLM..Run: [HP Component Manager] "C:Program
FilesHPhpcoretechhpcmpmgr.exe"
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software
UpdateHPWuSchd2.exe
O4 - HKLM..Run: [Daily Weather Forecast] C:Program FilesDaily Weather
Forecastweather.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [Sin Espias] C:Program FilesSinEspiasNo-Spy.exe /autorun
O4 - HKLM..Run: [stnospy] C:Program FilesSinEspiasno-spy.exe /autorun
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKCU..Run: [SpyEmergency] "C:Program FilesSpy Emergency
2005SpyEmergency.exe"
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O4 - HKCU..Run: [IncrediMail] C:Program FilesIncrediMailbinIncMail.exe
/c
O4 - HKCU..Run: [ClearCookies] C:WINDOWScc.exe
O4 - HKCU..Run: [WINSOS VERIFY] "C:Program FilesWINSOSWINSOS.EXE" MINI
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
C:PROGRA~1INCRED~1binresourcesWebMenuImg.htm
O8 - Extra context menu item: &Search -
http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O8 - Extra context menu item: Download all by Net Transport - C:Program
FilesXiNetTransport 2NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:Program
FilesXiNetTransport 2NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir avec GetRight - C:Program
FilesGetRightGRbrowse.htm
O8 - Extra context menu item: Télecharger avec GetRight - C:Program
FilesGetRightGRdownload.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
C:WINDOWSsystem32shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114736770935
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) -
http://activex.microsoft.com/controls/iptdweb/ikcntrls.cab
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: st3 - C:WINDOWSsystem32st3.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:Program
FilesFichiers communsSoftwinBitDefender Scan Serverbdss.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. -
C:WINDOWSSystem32ImapiRox.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner -
C:Program FilesSoftwinBitDefender Professional Editionvsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:Program
FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe

Vous avez filtré cet utilisateur ! Consultez son message

Désolée pour le petit délai, pas assez de 24 hrs dans une journée... J'ai
fait le scan avec SBS&D en mode sans échec et il a éliminé quelques fichiers.
Maintenant je n'ai plus le message comme fonds d'écran, mais je ne suis
toujours pas capable de sélectionner un fonds dans les propriétés d'affichage.

Voilà, comme demandé, voici le résultat du scan avec Hijack This

Merci beaucoup pour ton aide, je n'y connais pas grand chose et j'étais un
peu perdue.

Logfile of HijackThis v1.99.1
Scan saved at 18:03:13, on 2005-12-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:progra~1softwinbitdef~1bdmcon.exe
C:Program FilesJavajre1.5.0_05binjusched.exe
C:Program FilesAdaptecEasy CD Creator 5DirectCDDirectCD.exe
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesHPhpcoretechhpcmpmgr.exe
C:Program FilesHPHP Software UpdateHPWuSchd2.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:PROGRA~1INCRED~1binIMApp.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSoftwinBitDefender
Communicatorxcommsvr.exe
C:Program FilesFichiers communsSoftwinBitDefender Scan Serverbdss.exe
C:Program FilesSoftwinBitDefender Professional Editionvsserv.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32wuauclt.exe
C:Documents and SettingsPatrick FrigonLocal SettingsTemporary Internet
FilesContent.IE5P2RHYX9PHijackThis[1].exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.radiocanada.ca/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://home.fr.netscape.com/fr/home/winsearch200.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,Default_Search_URL =
http://minisearch.startnow.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src");
(C:Documents and SettingsPatrick FrigonApplication
DataMozillaProfilesdefaultrtx4r27.sltprefs.js)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: C:WINDOWSadsldpbe.dll - {7507739F-BC2E-4DC3-B233-816783C25DC9} -
C:WINDOWSadsldpbe.dll (file missing)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
O4 - HKLM..Run: [BDMCon] C:progra~1softwinbitdef~1bdmcon.exe
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program
FilesJavajre1.5.0_05binjusched.exe
O4 - HKLM..Run: [Windows DLL Loader] C:WINDOWSSystem32wvcabdd.exe
O4 - HKLM..Run: [Winamp Agent] C:WINDOWSSystem32winamp.exe
O4 - HKLM..Run: [AdaptecDirectCD] "C:Program FilesAdaptecEasy CD
Creator 5DirectCDDirectCD.exe"
O4 - HKLM..Run: [HPDJ Taskbar Utility]
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe"
-atboottime
O4 - HKLM..Run: [HP Component Manager] "C:Program
FilesHPhpcoretechhpcmpmgr.exe"
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software
UpdateHPWuSchd2.exe
O4 - HKLM..Run: [Daily Weather Forecast] C:Program FilesDaily Weather
Forecastweather.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [Sin Espias] C:Program FilesSinEspiasNo-Spy.exe /autorun
O4 - HKLM..Run: [stnospy] C:Program FilesSinEspiasno-spy.exe /autorun
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKCU..Run: [SpyEmergency] "C:Program FilesSpy Emergency
2005SpyEmergency.exe"
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O4 - HKCU..Run: [IncrediMail] C:Program FilesIncrediMailbinIncMail.exe
/c
O4 - HKCU..Run: [ClearCookies] C:WINDOWScc.exe
O4 - HKCU..Run: [WINSOS VERIFY] "C:Program FilesWINSOSWINSOS.EXE" MINI
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
C:PROGRA~1INCRED~1binresourcesWebMenuImg.htm
O8 - Extra context menu item: &Search -
http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O8 - Extra context menu item: Download all by Net Transport - C:Program
FilesXiNetTransport 2NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:Program
FilesXiNetTransport 2NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir avec GetRight - C:Program
FilesGetRightGRbrowse.htm
O8 - Extra context menu item: Télecharger avec GetRight - C:Program
FilesGetRightGRdownload.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
C:WINDOWSsystem32shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114736770935
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) -
http://activex.microsoft.com/controls/iptdweb/ikcntrls.cab
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: st3 - C:WINDOWSsystem32st3.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:Program
FilesFichiers communsSoftwinBitDefender Scan Serverbdss.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. -
C:WINDOWSSystem32ImapiRox.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner -
C:Program FilesSoftwinBitDefender Professional Editionvsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:Program
FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe

Ypoons

18/12/2005 à 04:21

Salut MEP

Désolée pour le petit délai, pas assez de 24 hrs dans une journée... J'ai
fait le scan avec SBS&D en mode sans échec et il a éliminé quelques fichiers.
Maintenant je n'ai plus le message comme fonds d'écran, mais je ne suis
toujours pas capable de sélectionner un fonds dans les propriétés d'affichage.

Voilà, comme demandé, voici le résultat du scan avec Hijack This

Merci beaucoup pour ton aide, je n'y connais pas grand chose et j'étais un
peu perdue.

OK. Je ne laisse que les lignes "nuisibles" avec des commentaires

Logfile of HijackThis v1.99.1
[...]
Running processes:
[...]
C:Program FilesJavajre1.5.0_05binjusched.exe
Inutile. Pour désactiver cela, fais un double-clic sur l'icône

"Java" dans le Panneau de Configuration, onglet "Mise à jour", et
désélectionnes la case "Automatiser la détection de mises à
jour". Tu feras tes mises à jour "à la main" (il ne sort pas une
version de Java tous les jours !)

[...]
C:Documents and SettingsPatrick FrigonLocal SettingsTemporary Internet
FilesContent.IE5P2RHYX9PHijackThis[1].exe
Il ne faut pas utiliser HijackThis depuis un dossier temporaire.

Ça risque de fausser les résultats. Copie-le dans un dossier
"normal", que tu créeras si nécessaire, avant de le lancer
*depuis cet emplacement*.

[...]
R1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,Default_Search_URL =
http://minisearch.startnow.com
C'est un lien dans les menus d'Internet Explorer vers un moteur

de recherche particulier. C'est un choix personnel ? Si non,
coche cette case dans le rapport de HijackThis.

[...]
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
Le compagnon Yahoo, c'est un choix personnel ? Si non, coche la

case dans le rapport de HijackThis.

[...]
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: C:WINDOWSadsldpbe.dll - {7507739F-BC2E-4DC3-B233-816783C25DC9} -
C:WINDOWSadsldpbe.dll (file missing)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
Coche ces trois lignes dans le rapport de HijackThis (de toutes

façons, elles ne marchent pas ou plus, il manque des fichiers -
peut-être les malwares enlevés par SD&D ?)

O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
Même remarque que plus haut pour le compagnon Yahoo

[...]
O4 - HKLM..Run: [Windows DLL Loader] C:WINDOWSSystem32wvcabdd.exe
Éminemment suspect. Je n'ai pas ça chez moi (XP Pro). Coche la

case dans le rapport de HijackThis.

O4 - HKLM..Run: [Winamp Agent] C:WINDOWSSystem32winamp.exe
Pas très utile qu'il se lance au démarrage. Quand tu te serviras

de WinAmp, ce bidule se lancera tout seul. Coche la case dans le
rapport de HijackThis.

O4 - HKLM..Run: [AdaptecDirectCD] "C:Program FilesAdaptecEasy CD
Creator 5DirectCDDirectCD.exe"
Pas très utile qu'il se lance au démarrage. Quand tu te serviras

de Easy CD Creator, ce bidule se lancera tout seul. Coche la case
dans le rapport de HijackThis.

[...]
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe"
-atboottime
Pas très utile qu'il se lance au démarrage. Quand tu te serviras

de QuickTime, ce bidule se lancera tout seul. Coche la case dans
le rapport de HijackThis.

[...]
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software
UpdateHPWuSchd2.exe
Pas très utile qu'il se lance au démarrage. Quand tu voudras

savoir s'il y a des mises à jour pour ton driver d'imprimante, tu
le feras "à la main". Coche la case dans le rapport de HijackThis.

O4 - HKLM..Run: [Daily Weather Forecast] C:Program FilesDaily Weather
Forecastweather.exe
C'est un choix personnel, cette prévision météo ? Si non, coche

la case dans le rapport de HijackThis (de toutes façons, tu peux
cocher la case : il n'est pas forcément utile que ce bidule soit
lancé dès le démarrage).

O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
Inutile. Quand tu voudras savoir s'il y a des mises à jour pour

RealPlayer, tu le feras "à la main". Coche la case dans le
rapport de HijackThis.

O4 - HKLM..Run: [Sin Espias] C:Program FilesSinEspiasNo-Spy.exe /autorun
O4 - HKLM..Run: [stnospy] C:Program FilesSinEspiasno-spy.exe /autorun
Est-ce toi qui as installé cet "anti-espions" ? Si non, coche la

case dans le rapport de HijackThis.

[...]
O4 - HKCU..Run: [SpyEmergency] "C:Program FilesSpy Emergency
2005SpyEmergency.exe"
Même remarque que pour "SinEspias" ci-dessus.

[...]
O4 - HKCU..Run: [ClearCookies] C:WINDOWScc.exe
Éminemment suspect. Coche la case dans le rapport de HijackThis.

O4 - HKCU..Run: [WINSOS VERIFY] "C:Program FilesWINSOSWINSOS.EXE" MINI
Même remarque que pour "SinEspias"

[...]
O8 - Extra context menu item: &Search -
http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O8 - Extra context menu item: Download all by Net Transport - C:Program
FilesXiNetTransport 2NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:Program
FilesXiNetTransport 2NTAddLink.html
Ici de sont des entrées supplémentaires accessibles dans certains

cas par clic droit de la souris. Si tu connais, tu laisses. Si tu
ne connais pas, tu coches la case dans le rapport de HijackThis
(moi je ne les connais pas).

[...]
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
Ces DNS sont celles de la société cybernaute.com basée à

Laterrière. Son administrateur est à Chicoutimi. Si tu connais
cette société, et qu'elle est ton fournisseur d'accès Internet,
c'est correct. Si non, coche ces cases dans le rapport de HijackThis.

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: st3 - C:WINDOWSsystem32st3.dll (file missing)
Coche ces deux cases. Ce sont des résidus de malwares déjà supprimés.

[...]

Après avoir coché les cases, clique sur le bouton "Fix" dans
HijackThis.

Pour le "no-spy.exe" de la maison "SinEspias", le "SpyEmergency"
et le "WinSOS.exe", il faudra ensuite les désinstaller. Vois si
il y a une/des entrée(s) dans "Ajout/Suppression de programmes".

Après ça, refais un scan HijackThis (depuis le dossier "pas
temporaire") et poste le résultat ici.

Ensuite, pour remettre le fond d'écran de ton choix, il faut
aller dans le registre. Tu sais faire ? Si oui, fais une copie
d'écran de l'éditeur de registre ouvert à
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
et une autre pour
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Sauvegarde (dans Paint par exemple) les images au format .JPG sur
ton disque dur. Puis va sur le site http://cjoint.com/ et crées
des liens pour chacun des deux fichiers, et copies ces liens dans
ton prochain message. J'irai voir les images, et te dirai la
suite si je trouve.

On est avec toi !

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Salut MEP

Désolée pour le petit délai, pas assez de 24 hrs dans une journée... J'ai
fait le scan avec SBS&D en mode sans échec et il a éliminé quelques fichiers.
Maintenant je n'ai plus le message comme fonds d'écran, mais je ne suis
toujours pas capable de sélectionner un fonds dans les propriétés d'affichage.

Voilà, comme demandé, voici le résultat du scan avec Hijack This

Merci beaucoup pour ton aide, je n'y connais pas grand chose et j'étais un
peu perdue.

OK. Je ne laisse que les lignes "nuisibles" avec des commentaires

Logfile of HijackThis v1.99.1
[...]
Running processes:
[...]
C:Program FilesJavajre1.5.0_05binjusched.exe
Inutile. Pour désactiver cela, fais un double-clic sur l'icône

"Java" dans le Panneau de Configuration, onglet "Mise à jour", et
désélectionnes la case "Automatiser la détection de mises à
jour". Tu feras tes mises à jour "à la main" (il ne sort pas une
version de Java tous les jours !)

[...]
C:Documents and SettingsPatrick FrigonLocal SettingsTemporary Internet
FilesContent.IE5P2RHYX9PHijackThis[1].exe
Il ne faut pas utiliser HijackThis depuis un dossier temporaire.

Ça risque de fausser les résultats. Copie-le dans un dossier
"normal", que tu créeras si nécessaire, avant de le lancer
*depuis cet emplacement*.

[...]
R1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,Default_Search_URL =
http://minisearch.startnow.com
C'est un lien dans les menus d'Internet Explorer vers un moteur

de recherche particulier. C'est un choix personnel ? Si non,
coche cette case dans le rapport de HijackThis.

[...]
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
Le compagnon Yahoo, c'est un choix personnel ? Si non, coche la

case dans le rapport de HijackThis.

[...]
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: C:WINDOWSadsldpbe.dll - {7507739F-BC2E-4DC3-B233-816783C25DC9} -
C:WINDOWSadsldpbe.dll (file missing)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
Coche ces trois lignes dans le rapport de HijackThis (de toutes

façons, elles ne marchent pas ou plus, il manque des fichiers -
peut-être les malwares enlevés par SD&D ?)

O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
Même remarque que plus haut pour le compagnon Yahoo

[...]
O4 - HKLM..Run: [Windows DLL Loader] C:WINDOWSSystem32wvcabdd.exe
Éminemment suspect. Je n'ai pas ça chez moi (XP Pro). Coche la

case dans le rapport de HijackThis.

O4 - HKLM..Run: [Winamp Agent] C:WINDOWSSystem32winamp.exe
Pas très utile qu'il se lance au démarrage. Quand tu te serviras

de WinAmp, ce bidule se lancera tout seul. Coche la case dans le
rapport de HijackThis.

O4 - HKLM..Run: [AdaptecDirectCD] "C:Program FilesAdaptecEasy CD
Creator 5DirectCDDirectCD.exe"
Pas très utile qu'il se lance au démarrage. Quand tu te serviras

de Easy CD Creator, ce bidule se lancera tout seul. Coche la case
dans le rapport de HijackThis.

[...]
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe"
-atboottime
Pas très utile qu'il se lance au démarrage. Quand tu te serviras

de QuickTime, ce bidule se lancera tout seul. Coche la case dans
le rapport de HijackThis.

[...]
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software
UpdateHPWuSchd2.exe
Pas très utile qu'il se lance au démarrage. Quand tu voudras

savoir s'il y a des mises à jour pour ton driver d'imprimante, tu
le feras "à la main". Coche la case dans le rapport de HijackThis.

O4 - HKLM..Run: [Daily Weather Forecast] C:Program FilesDaily Weather
Forecastweather.exe
C'est un choix personnel, cette prévision météo ? Si non, coche

la case dans le rapport de HijackThis (de toutes façons, tu peux
cocher la case : il n'est pas forcément utile que ce bidule soit
lancé dès le démarrage).

O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
Inutile. Quand tu voudras savoir s'il y a des mises à jour pour

RealPlayer, tu le feras "à la main". Coche la case dans le
rapport de HijackThis.

O4 - HKLM..Run: [Sin Espias] C:Program FilesSinEspiasNo-Spy.exe /autorun
O4 - HKLM..Run: [stnospy] C:Program FilesSinEspiasno-spy.exe /autorun
Est-ce toi qui as installé cet "anti-espions" ? Si non, coche la

case dans le rapport de HijackThis.

[...]
O4 - HKCU..Run: [SpyEmergency] "C:Program FilesSpy Emergency
2005SpyEmergency.exe"
Même remarque que pour "SinEspias" ci-dessus.

[...]
O4 - HKCU..Run: [ClearCookies] C:WINDOWScc.exe
Éminemment suspect. Coche la case dans le rapport de HijackThis.

O4 - HKCU..Run: [WINSOS VERIFY] "C:Program FilesWINSOSWINSOS.EXE" MINI
Même remarque que pour "SinEspias"

[...]
O8 - Extra context menu item: &Search -
http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O8 - Extra context menu item: Download all by Net Transport - C:Program
FilesXiNetTransport 2NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:Program
FilesXiNetTransport 2NTAddLink.html
Ici de sont des entrées supplémentaires accessibles dans certains

cas par clic droit de la souris. Si tu connais, tu laisses. Si tu
ne connais pas, tu coches la case dans le rapport de HijackThis
(moi je ne les connais pas).

[...]
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
Ces DNS sont celles de la société cybernaute.com basée à

Laterrière. Son administrateur est à Chicoutimi. Si tu connais
cette société, et qu'elle est ton fournisseur d'accès Internet,
c'est correct. Si non, coche ces cases dans le rapport de HijackThis.

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: st3 - C:WINDOWSsystem32st3.dll (file missing)
Coche ces deux cases. Ce sont des résidus de malwares déjà supprimés.

[...]

Après avoir coché les cases, clique sur le bouton "Fix" dans
HijackThis.

Pour le "no-spy.exe" de la maison "SinEspias", le "SpyEmergency"
et le "WinSOS.exe", il faudra ensuite les désinstaller. Vois si
il y a une/des entrée(s) dans "Ajout/Suppression de programmes".

Après ça, refais un scan HijackThis (depuis le dossier "pas
temporaire") et poste le résultat ici.

Ensuite, pour remettre le fond d'écran de ton choix, il faut
aller dans le registre. Tu sais faire ? Si oui, fais une copie
d'écran de l'éditeur de registre ouvert à
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
et une autre pour
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Sauvegarde (dans Paint par exemple) les images au format .JPG sur
ton disque dur. Puis va sur le site http://cjoint.com/ et crées
des liens pour chacun des deux fichiers, et copies ces liens dans
ton prochain message. J'irai voir les images, et te dirai la
suite si je trouve.

On est avec toi !

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Vous avez filtré cet utilisateur ! Consultez son message

Salut MEP

Désolée pour le petit délai, pas assez de 24 hrs dans une journée... J'ai
fait le scan avec SBS&D en mode sans échec et il a éliminé quelques fichiers.
Maintenant je n'ai plus le message comme fonds d'écran, mais je ne suis
toujours pas capable de sélectionner un fonds dans les propriétés d'affichage.

Voilà, comme demandé, voici le résultat du scan avec Hijack This

Merci beaucoup pour ton aide, je n'y connais pas grand chose et j'étais un
peu perdue.

OK. Je ne laisse que les lignes "nuisibles" avec des commentaires

Logfile of HijackThis v1.99.1
[...]
Running processes:
[...]
C:Program FilesJavajre1.5.0_05binjusched.exe
Inutile. Pour désactiver cela, fais un double-clic sur l'icône

"Java" dans le Panneau de Configuration, onglet "Mise à jour", et
désélectionnes la case "Automatiser la détection de mises à
jour". Tu feras tes mises à jour "à la main" (il ne sort pas une
version de Java tous les jours !)

[...]
C:Documents and SettingsPatrick FrigonLocal SettingsTemporary Internet
FilesContent.IE5P2RHYX9PHijackThis[1].exe
Il ne faut pas utiliser HijackThis depuis un dossier temporaire.

Ça risque de fausser les résultats. Copie-le dans un dossier
"normal", que tu créeras si nécessaire, avant de le lancer
*depuis cet emplacement*.

[...]
R1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,Default_Search_URL =
http://minisearch.startnow.com
C'est un lien dans les menus d'Internet Explorer vers un moteur

de recherche particulier. C'est un choix personnel ? Si non,
coche cette case dans le rapport de HijackThis.

[...]
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
Le compagnon Yahoo, c'est un choix personnel ? Si non, coche la

case dans le rapport de HijackThis.

[...]
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: C:WINDOWSadsldpbe.dll - {7507739F-BC2E-4DC3-B233-816783C25DC9} -
C:WINDOWSadsldpbe.dll (file missing)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
Coche ces trois lignes dans le rapport de HijackThis (de toutes

façons, elles ne marchent pas ou plus, il manque des fichiers -
peut-être les malwares enlevés par SD&D ?)

O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_3_18_0.dll
Même remarque que plus haut pour le compagnon Yahoo

[...]
O4 - HKLM..Run: [Windows DLL Loader] C:WINDOWSSystem32wvcabdd.exe
Éminemment suspect. Je n'ai pas ça chez moi (XP Pro). Coche la

case dans le rapport de HijackThis.

O4 - HKLM..Run: [Winamp Agent] C:WINDOWSSystem32winamp.exe
Pas très utile qu'il se lance au démarrage. Quand tu te serviras

de WinAmp, ce bidule se lancera tout seul. Coche la case dans le
rapport de HijackThis.

O4 - HKLM..Run: [AdaptecDirectCD] "C:Program FilesAdaptecEasy CD
Creator 5DirectCDDirectCD.exe"
Pas très utile qu'il se lance au démarrage. Quand tu te serviras

de Easy CD Creator, ce bidule se lancera tout seul. Coche la case
dans le rapport de HijackThis.

[...]
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe"
-atboottime
Pas très utile qu'il se lance au démarrage. Quand tu te serviras

de QuickTime, ce bidule se lancera tout seul. Coche la case dans
le rapport de HijackThis.

[...]
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software
UpdateHPWuSchd2.exe
Pas très utile qu'il se lance au démarrage. Quand tu voudras

savoir s'il y a des mises à jour pour ton driver d'imprimante, tu
le feras "à la main". Coche la case dans le rapport de HijackThis.

O4 - HKLM..Run: [Daily Weather Forecast] C:Program FilesDaily Weather
Forecastweather.exe
C'est un choix personnel, cette prévision météo ? Si non, coche

la case dans le rapport de HijackThis (de toutes façons, tu peux
cocher la case : il n'est pas forcément utile que ce bidule soit
lancé dès le démarrage).

O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
Inutile. Quand tu voudras savoir s'il y a des mises à jour pour

RealPlayer, tu le feras "à la main". Coche la case dans le
rapport de HijackThis.

O4 - HKLM..Run: [Sin Espias] C:Program FilesSinEspiasNo-Spy.exe /autorun
O4 - HKLM..Run: [stnospy] C:Program FilesSinEspiasno-spy.exe /autorun
Est-ce toi qui as installé cet "anti-espions" ? Si non, coche la

case dans le rapport de HijackThis.

[...]
O4 - HKCU..Run: [SpyEmergency] "C:Program FilesSpy Emergency
2005SpyEmergency.exe"
Même remarque que pour "SinEspias" ci-dessus.

[...]
O4 - HKCU..Run: [ClearCookies] C:WINDOWScc.exe
Éminemment suspect. Coche la case dans le rapport de HijackThis.

O4 - HKCU..Run: [WINSOS VERIFY] "C:Program FilesWINSOSWINSOS.EXE" MINI
Même remarque que pour "SinEspias"

[...]
O8 - Extra context menu item: &Search -
http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O8 - Extra context menu item: Download all by Net Transport - C:Program
FilesXiNetTransport 2NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:Program
FilesXiNetTransport 2NTAddLink.html
Ici de sont des entrées supplémentaires accessibles dans certains

cas par clic droit de la souris. Si tu connais, tu laisses. Si tu
ne connais pas, tu coches la case dans le rapport de HijackThis
(moi je ne les connais pas).

[...]
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
Ces DNS sont celles de la société cybernaute.com basée à

Laterrière. Son administrateur est à Chicoutimi. Si tu connais
cette société, et qu'elle est ton fournisseur d'accès Internet,
c'est correct. Si non, coche ces cases dans le rapport de HijackThis.

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: st3 - C:WINDOWSsystem32st3.dll (file missing)
Coche ces deux cases. Ce sont des résidus de malwares déjà supprimés.

[...]

Après avoir coché les cases, clique sur le bouton "Fix" dans
HijackThis.

Pour le "no-spy.exe" de la maison "SinEspias", le "SpyEmergency"
et le "WinSOS.exe", il faudra ensuite les désinstaller. Vois si
il y a une/des entrée(s) dans "Ajout/Suppression de programmes".

Après ça, refais un scan HijackThis (depuis le dossier "pas
temporaire") et poste le résultat ici.

Ensuite, pour remettre le fond d'écran de ton choix, il faut
aller dans le registre. Tu sais faire ? Si oui, fais une copie
d'écran de l'éditeur de registre ouvert à
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
et une autre pour
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Sauvegarde (dans Paint par exemple) les images au format .JPG sur
ton disque dur. Puis va sur le site http://cjoint.com/ et crées
des liens pour chacun des deux fichiers, et copies ces liens dans
ton prochain message. J'irai voir les images, et te dirai la
suite si je trouve.

On est avec toi !

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

MEP

18/12/2005 à 20:48

Salut Ypoons,
Voilà, j'ai fait ce que tu m'as dit et je t'envoie le rapport. Mais avant,
pour mon fond d'écran, je n'ai pas réussi à faire une copie d'écran, je ne
sais pas, ça ne veut rien savoir, quand je fais Print screen, rien ne se
passe. Je ne sais pas si ça peut aider, mais voici les nom de fichiers que
je retrouve:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem :
1 - Nom: (par défaut), Type: REG_SZ, Données: (valeur non définie)

2 - Nom: Wallpaper, type: REG_SZ, Données: C:WINDOWSdesktop.html

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem :
1 - Nom: (par défaut), Type: REG_SZ, Données: (valeur non définie)

2 - Nom: dontdisplaylastusername, Type: REG_DWORD, Données: 0x00000000 (0)
3 - Nom: legannoticecaption, Type: REG_SZ, Données: (rien d'inscrit)
4 - Nom: legalnoticetext, Type: REG_SZ, Données: (rien d'inscrit)
5 - Nom: shutdownwithoutlogon, Type: REG_DWORD, Données: 0x00000001 (1)
6 - Nom: undockwithoutlogon, Type: REG_DWORD, Données: 0x00000001 (1)

Et maintenant, voici mon rapport Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 14:28:32, on 2005-12-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
C:Program FilesHPhpcoretechhpcmpmgr.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:PROGRA~1INCRED~1binIMApp.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:Program FilesHPhpcoretechcomphptskmgr.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:Program FilesKerioPersonal Firewallpersfw.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSregedit.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsPatrick FrigonBureauHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*http://fr.yahoo.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.radiocanada.ca/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://home.fr.netscape.com/fr/home/winsearch200.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) =
http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*http://fr.yahoo.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src");
(C:Documents and SettingsPatrick FrigonApplication
DataMozillaProfilesdefaultrtx4r27.sltprefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpn0yt.dll
O4 - HKLM..Run: [HPDJ Taskbar Utility]
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
O4 - HKLM..Run: [HP Component Manager] "C:Program
FilesHPhpcoretechhpcmpmgr.exe"
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O4 - HKCU..Run: [IncrediMail] C:Program FilesIncrediMailbinIncMail.exe
/c
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
C:PROGRA~1INCRED~1binresourcesWebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir avec GetRight - C:Program
FilesGetRightGRbrowse.htm
O8 - Extra context menu item: Télecharger avec GetRight - C:Program
FilesGetRightGRdownload.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
C:WINDOWSsystem32shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114736770935
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) -
http://activex.microsoft.com/controls/iptdweb/ikcntrls.cab
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. -
C:WINDOWSSystem32ImapiRox.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies -
C:Program FilesKerioPersonal Firewallpersfw.exe

Merci pour ton aide, c'est très apprécié.
MEP

Salut Ypoons,
Voilà, j'ai fait ce que tu m'as dit et je t'envoie le rapport. Mais avant,
pour mon fond d'écran, je n'ai pas réussi à faire une copie d'écran, je ne
sais pas, ça ne veut rien savoir, quand je fais Print screen, rien ne se
passe. Je ne sais pas si ça peut aider, mais voici les nom de fichiers que
je retrouve:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem :
1 - Nom: (par défaut), Type: REG_SZ, Données: (valeur non définie)

2 - Nom: Wallpaper, type: REG_SZ, Données: C:WINDOWSdesktop.html

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem :
1 - Nom: (par défaut), Type: REG_SZ, Données: (valeur non définie)

2 - Nom: dontdisplaylastusername, Type: REG_DWORD, Données: 0x00000000 (0)
3 - Nom: legannoticecaption, Type: REG_SZ, Données: (rien d'inscrit)
4 - Nom: legalnoticetext, Type: REG_SZ, Données: (rien d'inscrit)
5 - Nom: shutdownwithoutlogon, Type: REG_DWORD, Données: 0x00000001 (1)
6 - Nom: undockwithoutlogon, Type: REG_DWORD, Données: 0x00000001 (1)

Et maintenant, voici mon rapport Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 14:28:32, on 2005-12-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
C:Program FilesHPhpcoretechhpcmpmgr.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:PROGRA~1INCRED~1binIMApp.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:Program FilesHPhpcoretechcomphptskmgr.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:Program FilesKerioPersonal Firewallpersfw.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSregedit.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsPatrick FrigonBureauHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*http://fr.yahoo.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.radiocanada.ca/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://home.fr.netscape.com/fr/home/winsearch200.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) =
http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*http://fr.yahoo.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src");
(C:Documents and SettingsPatrick FrigonApplication
DataMozillaProfilesdefaultrtx4r27.sltprefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpn0yt.dll
O4 - HKLM..Run: [HPDJ Taskbar Utility]
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
O4 - HKLM..Run: [HP Component Manager] "C:Program
FilesHPhpcoretechhpcmpmgr.exe"
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O4 - HKCU..Run: [IncrediMail] C:Program FilesIncrediMailbinIncMail.exe
/c
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
C:PROGRA~1INCRED~1binresourcesWebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir avec GetRight - C:Program
FilesGetRightGRbrowse.htm
O8 - Extra context menu item: Télecharger avec GetRight - C:Program
FilesGetRightGRdownload.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
C:WINDOWSsystem32shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114736770935
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) -
http://activex.microsoft.com/controls/iptdweb/ikcntrls.cab
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. -
C:WINDOWSSystem32ImapiRox.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies -
C:Program FilesKerioPersonal Firewallpersfw.exe

Merci pour ton aide, c'est très apprécié.
MEP

Vous avez filtré cet utilisateur ! Consultez son message

Salut Ypoons,
Voilà, j'ai fait ce que tu m'as dit et je t'envoie le rapport. Mais avant,
pour mon fond d'écran, je n'ai pas réussi à faire une copie d'écran, je ne
sais pas, ça ne veut rien savoir, quand je fais Print screen, rien ne se
passe. Je ne sais pas si ça peut aider, mais voici les nom de fichiers que
je retrouve:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem :
1 - Nom: (par défaut), Type: REG_SZ, Données: (valeur non définie)

2 - Nom: Wallpaper, type: REG_SZ, Données: C:WINDOWSdesktop.html

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem :
1 - Nom: (par défaut), Type: REG_SZ, Données: (valeur non définie)

2 - Nom: dontdisplaylastusername, Type: REG_DWORD, Données: 0x00000000 (0)
3 - Nom: legannoticecaption, Type: REG_SZ, Données: (rien d'inscrit)
4 - Nom: legalnoticetext, Type: REG_SZ, Données: (rien d'inscrit)
5 - Nom: shutdownwithoutlogon, Type: REG_DWORD, Données: 0x00000001 (1)
6 - Nom: undockwithoutlogon, Type: REG_DWORD, Données: 0x00000001 (1)

Et maintenant, voici mon rapport Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 14:28:32, on 2005-12-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
C:Program FilesHPhpcoretechhpcmpmgr.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:PROGRA~1INCRED~1binIMApp.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:Program FilesHPhpcoretechcomphptskmgr.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:Program FilesKerioPersonal Firewallpersfw.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSregedit.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsPatrick FrigonBureauHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*http://fr.yahoo.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.radiocanada.ca/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://home.fr.netscape.com/fr/home/winsearch200.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://home.fr.netscape.com/fr/home/winsearch.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) =
http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*http://fr.yahoo.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src");
(C:Documents and SettingsPatrick FrigonApplication
DataMozillaProfilesdefaultrtx4r27.sltprefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpn0yt.dll
O4 - HKLM..Run: [HPDJ Taskbar Utility]
C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
O4 - HKLM..Run: [HP Component Manager] "C:Program
FilesHPhpcoretechhpcmpmgr.exe"
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O4 - HKCU..Run: [IncrediMail] C:Program FilesIncrediMailbinIncMail.exe
/c
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
C:PROGRA~1INCRED~1binresourcesWebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir avec GetRight - C:Program
FilesGetRightGRbrowse.htm
O8 - Extra context menu item: Télecharger avec GetRight - C:Program
FilesGetRightGRdownload.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_05binnpjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
C:WINDOWSsystem32shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114736770935
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) -
http://activex.microsoft.com/controls/iptdweb/ikcntrls.cab
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. -
C:WINDOWSSystem32ImapiRox.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies -
C:Program FilesKerioPersonal Firewallpersfw.exe

Merci pour ton aide, c'est très apprécié.
MEP

Ypoons

19/12/2005 à 02:56

Salut Patrick

Salut Ypoons,
Voilà, j'ai fait ce que tu m'as dit et je t'envoie le rapport. Mais avant,
pour mon fond d'écran, je n'ai pas réussi à faire une copie d'écran, je ne
sais pas, ça ne veut rien savoir, quand je fais Print screen, rien ne se
passe.

Quand tu appuies sur PrintScreen, ça fait une copie de l'image de
l'écran *dans le presse-papiers*. Il faut ensuite la "coller" en
ouvrant un logiciel de dessin ou d'image (Paint de Windows fait
ça très bien) et sauvegarder l'image en choisissant un format
(pour des images "pas trop lourdes", le format .jpg est très bien).

Je ne sais pas si ça peut aider, mais voici les nom de fichiers que
je retrouve:

C'est parfait.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem :

2 - Nom: Wallpaper, type: REG_SZ, Données: C:WINDOWSdesktop.html

C'est cette clé qu'il te faut supprimer. Elle oblige Windows à
utiliser le fichier C:Windowsdesktop.html comme fond d'écran.
Après avoir supprimé la clé, fermé toutes les fenêtres et
redémarré, tu supprimeras le fichier desktop.html.
Puis tu choisiras le fond d'écran que tu veux.

[...]
Et maintenant, voici mon rapport Hijack:
[...]
Running processes:
[...]
C:Documents and SettingsPatrick FrigonBureauHijackThis.exe

Tu vas trouver que je suis casse-pieds : le bureau ne doit pas
être un espace de stockage habituel. Il y a une raison : si tu
fais une restauration système un jour, le bureau sera restauré
aussi. Et si tu as des documents ou des choses auxquelles tu
tiens qui y sont entreposés, ils vont disparaître...
Sur le bureau, en-dehors des icônes de Windows, il ne doit y
avoir que des raccourcis vers les documents et autres choses, de
façon à ne pas perdre les documents et autres choses qui doivent
être stocké(e)s ailleurs.

[...]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*http://fr.yahoo.com
Page de recherche de Internet Explorer par défaut : Yahoo France

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.radiocanada.ca/
Page de démarrage de Internet explorer : Radio Canada

[...]
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
Si tu as laissé ces deux lignes, je suppose que ton fournisseur

d'accès internet est bien cybernaute.com ?

[...]

Tout le reste a l'air correct. Excepté... tu as changé
d'antivirus ? La dernière fois, c'était BitDefender Pro.
Maintenant, c'est Avast4 ! Il est gratuit, et il est très bien
aussi. C'est celui que j'utilise. ;)

Merci pour ton aide, c'est très apprécié.
MEP

Pas de quoi. Je suppose que maintenant ton ordinateur ronronne ?

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Salut Patrick

Salut Ypoons,
Voilà, j'ai fait ce que tu m'as dit et je t'envoie le rapport. Mais avant,
pour mon fond d'écran, je n'ai pas réussi à faire une copie d'écran, je ne
sais pas, ça ne veut rien savoir, quand je fais Print screen, rien ne se
passe.

Quand tu appuies sur PrintScreen, ça fait une copie de l'image de
l'écran *dans le presse-papiers*. Il faut ensuite la "coller" en
ouvrant un logiciel de dessin ou d'image (Paint de Windows fait
ça très bien) et sauvegarder l'image en choisissant un format
(pour des images "pas trop lourdes", le format .jpg est très bien).

Je ne sais pas si ça peut aider, mais voici les nom de fichiers que
je retrouve:

C'est parfait.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem :

2 - Nom: Wallpaper, type: REG_SZ, Données: C:WINDOWSdesktop.html

C'est cette clé qu'il te faut supprimer. Elle oblige Windows à
utiliser le fichier C:Windowsdesktop.html comme fond d'écran.
Après avoir supprimé la clé, fermé toutes les fenêtres et
redémarré, tu supprimeras le fichier desktop.html.
Puis tu choisiras le fond d'écran que tu veux.

[...]
Et maintenant, voici mon rapport Hijack:
[...]
Running processes:
[...]
C:Documents and SettingsPatrick FrigonBureauHijackThis.exe

Tu vas trouver que je suis casse-pieds : le bureau ne doit pas
être un espace de stockage habituel. Il y a une raison : si tu
fais une restauration système un jour, le bureau sera restauré
aussi. Et si tu as des documents ou des choses auxquelles tu
tiens qui y sont entreposés, ils vont disparaître...
Sur le bureau, en-dehors des icônes de Windows, il ne doit y
avoir que des raccourcis vers les documents et autres choses, de
façon à ne pas perdre les documents et autres choses qui doivent
être stocké(e)s ailleurs.

[...]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*http://fr.yahoo.com
Page de recherche de Internet Explorer par défaut : Yahoo France

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.radiocanada.ca/
Page de démarrage de Internet explorer : Radio Canada

[...]
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
Si tu as laissé ces deux lignes, je suppose que ton fournisseur

d'accès internet est bien cybernaute.com ?

[...]

Tout le reste a l'air correct. Excepté... tu as changé
d'antivirus ? La dernière fois, c'était BitDefender Pro.
Maintenant, c'est Avast4 ! Il est gratuit, et il est très bien
aussi. C'est celui que j'utilise. ;)

Merci pour ton aide, c'est très apprécié.
MEP

Pas de quoi. Je suppose que maintenant ton ordinateur ronronne ?

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Vous avez filtré cet utilisateur ! Consultez son message

Salut Patrick

Salut Ypoons,
Voilà, j'ai fait ce que tu m'as dit et je t'envoie le rapport. Mais avant,
pour mon fond d'écran, je n'ai pas réussi à faire une copie d'écran, je ne
sais pas, ça ne veut rien savoir, quand je fais Print screen, rien ne se
passe.

Quand tu appuies sur PrintScreen, ça fait une copie de l'image de
l'écran *dans le presse-papiers*. Il faut ensuite la "coller" en
ouvrant un logiciel de dessin ou d'image (Paint de Windows fait
ça très bien) et sauvegarder l'image en choisissant un format
(pour des images "pas trop lourdes", le format .jpg est très bien).

Je ne sais pas si ça peut aider, mais voici les nom de fichiers que
je retrouve:

C'est parfait.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem :

2 - Nom: Wallpaper, type: REG_SZ, Données: C:WINDOWSdesktop.html

C'est cette clé qu'il te faut supprimer. Elle oblige Windows à
utiliser le fichier C:Windowsdesktop.html comme fond d'écran.
Après avoir supprimé la clé, fermé toutes les fenêtres et
redémarré, tu supprimeras le fichier desktop.html.
Puis tu choisiras le fond d'écran que tu veux.

[...]
Et maintenant, voici mon rapport Hijack:
[...]
Running processes:
[...]
C:Documents and SettingsPatrick FrigonBureauHijackThis.exe

Tu vas trouver que je suis casse-pieds : le bureau ne doit pas
être un espace de stockage habituel. Il y a une raison : si tu
fais une restauration système un jour, le bureau sera restauré
aussi. Et si tu as des documents ou des choses auxquelles tu
tiens qui y sont entreposés, ils vont disparaître...
Sur le bureau, en-dehors des icônes de Windows, il ne doit y
avoir que des raccourcis vers les documents et autres choses, de
façon à ne pas perdre les documents et autres choses qui doivent
être stocké(e)s ailleurs.

[...]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*http://fr.yahoo.com
Page de recherche de Internet Explorer par défaut : Yahoo France

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.radiocanada.ca/
Page de démarrage de Internet explorer : Radio Canada

[...]
O17 -
HKLMSystemCCSServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
O17 -
HKLMSystemCS2ServicesTcpip..{31FF918F-5EE4-46D0-AA24-F30D3DF392D5}:
NameServer = 205.236.155.97 205.236.153.69
Si tu as laissé ces deux lignes, je suppose que ton fournisseur

d'accès internet est bien cybernaute.com ?

[...]

Tout le reste a l'air correct. Excepté... tu as changé
d'antivirus ? La dernière fois, c'était BitDefender Pro.
Maintenant, c'est Avast4 ! Il est gratuit, et il est très bien
aussi. C'est celui que j'utilise. ;)

Merci pour ton aide, c'est très apprécié.
MEP

Pas de quoi. Je suppose que maintenant ton ordinateur ronronne ?

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Spyware infection (besoin d'aide)

5 réponses

Veuillez sélectionner un problème