Tom's Guide > Forum > Sécurité - Virus > je na sais pas si je suis infecte par winfixer 2005?
je na sais pas si je suis infecte par winfixer 2005? - Sécurité - Virus
TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Répondre
Mot :    Pseudo :           
 
fao@IDN   19-09-2005 à 11:58:06

salut a tous ,mon probleme est simple j'ai fait l'erreur d'installer winfixer 2005 mais je l'ai ensuite supprimer parce qu'il faut l'acheter
cependant j'ai lu tout vos messages et je n'ai pas de fenetre de winfixer qui s'ouvre :par precaution j'ai appliquer ce que faut faire pour l'enlever
doc voici mon log Hiajckthis en esperant que quelqu'un puisse l'analyser :merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 11:58:11, on 19/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Acronis\ProcessActivityMonitor\paamsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Anti-Trojan-55\ATWatch.exe
C:\Program Files\Micro Application\Effaceur Expert\Shield.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Micro Application\Effaceur Expert\Effaceur Expert.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Hiajckthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lgitlfqeysa.com/S_DarN4 [...] XaFUb.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DB4D1285-777E-6C6B-F384-5BF2E90888CE} - C:\DOCUME~1\hachani\APPLIC~1\scrfast\dupe hold.exe
O2 - BHO: CAdBlocker Object - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\MICROA~1\EFFACE~1\Blocker.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Shell API32] svcnet.exe
O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [SpyWare Shield] C:\Program Files\Micro Application\Effaceur Expert\Shield.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Great Deaf Browse Part] C:\Documents and Settings\All Users\Application Data\Once Ball Great Deaf\PEAKDVD.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1Wma] C:\DOCUME~1\hachani\APPLIC~1\JUNKNO~1\BARBSLOWCURB.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: Micro Application Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\Blocker.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Process Activity Monitor (paamsrv) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\ProcessActivityMonitor\paamsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


merci d'analyser ce log et de trouver des infections
a+

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
OmaR   19-09-2005 à 12:17:30
- 0 +

Salut,

Il semblerait que t'ai installé Messenger + avec des spywares. Désinstalles le, et réinstalles le sans le complément.


Coches ces lignes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lgitlfqeysa.com/S_DarN4 [...] XaFUb.html
O2 - BHO: (no name) - {DB4D1285-777E-6C6B-F384-5BF2E90888CE} - C:\DOCUME~1\hachani\APPLIC~1\scrfast\dupe hold.exe
O4 - HKLM\..\Run: [Shell API32] svcnet.exe
O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe
O4 - HKCU\..\Run: [1Wma] C:\DOCUME~1\hachani\APPLIC~1\JUNKNO~1\BARBSLOWCURB.exe (si tu connais pas)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)

Redémarres en mode sans échec et supprimes ces fichiers :
C:\DOCUME~1\hachani\APPLIC~1\scrfast\dupe hold.exe (même le dossier en entier)
svcnet.exe (dans C:\Windows ou C:\Windows\system32)
C:\DOCUME~1\hachani\APPLIC~1\JUNKNO~1\ (le dossier en entier si tu connais pas)

Puis préfères Firefox à IE t'auras moins de problèmes de ce type.

Répondre à OmaR
fao@IDN   19-09-2005 à 18:30:17
- 0 +

merci d'avoir repondu j'ai fait tout ce que tu m'a dit de faire (installation de firefox et tout )sauf que pour redemarrer en mode sans echec ca marche pas ,j'ai taper sur F8 et j'ai mis entrer sur mode sans echec bref ca charge puis rien(une page noir avec un trait blanc clignotant en haut a gauche)
ou sinon aucune trace de winfixer depuis
repondez moi si vous avez une solution
je remet mon log juste pour confirmation que ca a marcher (vu que moi j'y comprend rien)
merci a +


Logfile of HijackThis v1.99.1
Scan saved at 18:32:41, on 19/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Anti-Trojan-55\ATWatch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Micro Application\Effaceur Expert\Shield.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Acronis\ProcessActivityMonitor\paamsrv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Hiajckthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xjiaqwyqrxnfocufdjwggiq [...] ZXaFUb.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DB4D1285-777E-6C6B-F384-5BF2E90888CE} - C:\DOCUME~1\hachani\APPLIC~1\scrfast\dupe hold.exe
O2 - BHO: CAdBlocker Object - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\MICROA~1\EFFACE~1\Blocker.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [SpyWare Shield] C:\Program Files\Micro Application\Effaceur Expert\Shield.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Great Deaf Browse Part] C:\Documents and Settings\All Users\Application Data\Once Ball Great Deaf\PEAKDVD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1Wma] C:\DOCUME~1\hachani\APPLIC~1\JUNKNO~1\BARBSLOWCURB.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: Micro Application Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\Blocker.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Process Activity Monitor (paamsrv) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\ProcessActivityMonitor\paamsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Répondre à fao@IDN
OmaR   19-09-2005 à 22:40:32
- 0 +

normalement quand tu redémarres en mode sans échec, le démarrage est assez long... il faut être patient !!
Le problème est qu'il y a toujours plein de problèmes dans ton log... As tu bien coché les lignes et appuyé sur "Fix checked" ??? Car on dirait que c'est le même log que précedemment.
Si tu n'avais pas fait Fix Checked, recoches tout, et appuyes sur Fix Checked, faudra répondre "oui" aux questions il me semble.

Ensuite, donc, t'essayes de redémarrer en mode sans échec. Si t'y arrives pas, redémarres en mode normal et supprimes le maximum des fichiers que je t'ai conseillé de supprimer. Si t'as encore quelques fichiers que t'as pas pu supprimer dit le moi.

Puis, refais un log et repostes le.

Par contre, quand tu dis que t'as installé firefox, il faut l'utiliser à la place d'Internet Explorer hein... car la t'es encore avec IE ! :-P

Répondre à OmaR
fao@IDN   19-09-2005 à 22:56:14
- 0 +

re salut lol,alors je vais essayer de repondre une a une a tes question :
alors oui j'ai bien cocher Fix checked
j'ai aussi reussi a l'enlever le fichier Scrfast de application data
(pour info j'ai bien galerer pour celui car il falait terminer l'aborescense du processus de msngr puis de IExplorer pour pouvoir le supprimer a la main"corbeill" )

ensuit pour le mode sans echec j'ai attendu quand meme 2 minutes mais bon je vais attendre encore plus

puis j'ai scan l'ordi avec panda activ scan

Ben maintenant plus de trace de Winfixer(meme dans le registre windows) et aucune publicite intempestive

voila omar merci de ton aide et a+ sur le forum

"Porbleme resolu"

reédit:comment tu fais pour mettre firefox a la place de IE

Répondre à fao@IDN
OmaR   19-09-2005 à 23:26:54
- 0 +

ben à la place de lancer IE, tu lances Firefox... c'est tout aussi con que ça.
Par contre, avec Firefox tu ne peux pas faire de scan en ligne et tu peux pas faire de windowsupdate.
Donc si t'as besoin de faire une des deux choses, utilises IE.
Par contre, refais un log et repostes le car je crois que c'est chelou ton truc... Je vérifierais ça demain dans la journée ;-)

Répondre à OmaR
jper1   20-09-2005 à 11:52:00
- 0 +

bonjour à tous
je suis aussi l'un des nombreuses personnes touchées par winfixer
qlq'un pourrait-il me dire quelles lignes supprimer et quoi faire ou sinon comment lire les logs suivantes ... merci par avance

Répondre à jper1
fao@IDN   20-09-2005 à 11:54:47
- 0 +

ok voici mon log

Logfile of HijackThis v1.99.1
Scan saved at 11:55:36, on 20/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Acronis\ProcessActivityMonitor\paamsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Micro Application\Effaceur Expert\Shield.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Hiajckthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CAdBlocker Object - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\MICROA~1\EFFACE~1\Blocker.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SpyWare Shield] C:\Program Files\Micro Application\Effaceur Expert\Shield.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: Micro Application Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\Blocker.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Process Activity Monitor (paamsrv) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\ProcessActivityMonitor\paamsrv.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

merci de ton aide a+ mais a mon avis rien a signaler a part msn plus mais verifie quand meme ) :-)

Répondre à fao@IDN
OmaR   20-09-2005 à 13:44:09
- 0 +

Salut,

-> jper1, t'as bien fait de créer ton propre topic après, je me suis déja occupé de toi dans ton topic.

-> fao, t'as plus l'air d'avoir de connerie. Mais MSN+ n'a rien de méchant, c'est juste qu'il faut faire attention quand on l'installe de pas l'installer avec les spywares.

Sinon, juste pour nettoyer un peu le log, tu peux supprimer les lignes avec les (file missing) c'est à dire :
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Car ça doit te servir à rien si le fichier associé existe plus ! :-P

Sinon c'est clean pour moi :jap:

Répondre à OmaR
fao@IDN   20-09-2005 à 17:53:50
- 0 +

merci de ton aide Omar et je pense avoir compris le fonctionnement des logs
qui sait je pourrai peut etre aider quelqu'un , un jour .
allez a+

Répondre à fao@IDN
OmaR   20-09-2005 à 22:30:27
- 0 +

Citation :


fao a écrit :
merci de ton aide Omar et je pense avoir compris le fonctionnement des logs
qui sait je pourrai peut etre aider quelqu'un , un jour .
allez a+



Faut faire attention, au début on fait plein d'erreurs... il m'est arrivé de supprimer plein de trucs qu'il fallait pas...
Donc avec précaution... et même quand on est habitué, on laisse passer des trucs, ou on enlève des trucs en trop...

Répondre à OmaR
fao@IDN   21-09-2005 à 16:15:39
- 0 +

merci je ferai atention et de toute facon avant de supprimer quelquechose je demanderai sur le forum si c'est possible ou pas lol allez a+

Répondre à fao@IDN
louh   23-09-2005 à 17:31:17
- 0 +

Salut
j'ai téléchargé winfixer 05
je ne comprend rien aux réponses que l'on t'a donné pour le suprimer
peux tu m'aider

merci

Répondre à louh
OmaR   23-09-2005 à 18:42:29
- 0 +

postes un log HijackThis dans un nouveau topic et on s'occupe de toi ;-)

Répondre à OmaR
louh   29-09-2005 à 18:30:23
- 0 +

c quoi un log hijackthis ?
j'ai fait plusieurs chosses pr virer ce winfixer mais rien ne marche c du serieux ce truc ? :-o

Répondre à louh
louh   29-09-2005 à 22:22:10
- 0 +

22:10:23" END = "29 Sep 05 22:10:23">
<Information Version = "4.15" DatabaseVersion = "117" DataBaseDate = "22 Sept 2005"/>
<Information OS = "Win XP"/>
<Information ServicePack = "Service Pack 2"/>
<Information WorkingDirectory = "C:\Program Files\XoftSpy\"/>
<Information Option = "AdvSpyware Scan" State = "ON"/>
<Information Option = "Scan IE Favorites" State = "ON"/>
<Information Option = "Scan Host Files" State = "ON"/>
<Information Option = "Scan Drives" State = "ON"/>
<Information Option = "Do Not Scan Executables" State = "OFF"/>
<Information Option = "Scan Registry" State = "ON"/>
<Information Option = "Scan Active Processes" State = "ON"/>
<Information Option = "Automatic Database Update" State = "OFF"/>
<Information Option = "Automatic Program Update" State = "OFF"/>
<Information Option = "Automatic Removal" State = "OFF"/>
<Information Option = "Exit When Finished" State = "OFF"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Run"/>
<Information Value = "MoneyAgent" Data = "C:\Program Files\Microsoft Money\System\mnyexpr.exe" MD5 = "e289b9f8721d0bcc4117c4cc973c75ee" Path = ""/>
<Information Value = "Trans Comp" Data = "C:\DOCUME~1\HP_PRO~1\APPLIC~1\LITESO~1\Log four.exe"/>
<Information Value = "MessengerPlus3" Data = "C:\Program Files\MessengerPlus! 3\MsgPlus.exe /WinStart" MD5 = "a995f7d9e1276d7c75a9c69d73073d25" Path = ""/>
<Information Value = "MSMSGS" Data = "C:\Program Files\Messenger\msmsgs.exe /background" MD5 = "74e6e96c6f0e2eca4edbb7f7a468f259" Path = ""/>
<Information Value = "msnmsgr" Data = "C:\Program Files\MSN Messenger\msnmsgr.exe /background" MD5 = "e01dc180bb87c18df3f5372286f4c4ff" Path = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Run"/>
<Information Value = "SunJavaUpdateSched" Data = "C:\Program Files\Java\jre1.5.0\bin\jusched.exe" MD5 = "ffc7a8aa516b0d2a27dadf146eb538cc" Path = ""/>
<Information Value = "hpsysdrv" Data = "c:\windows\system\hpsysdrv.exe" MD5 = "06a1ecb63df139ec639e084d4ab3c9d7" Path = ""/>
<Information Value = "ATIPTA" Data = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" MD5 = "fe1ae350f8e1642397c67a4402afdb48" Path = ""/>
<Information Value = "HPHUPD06" Data = "c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" MD5 = "fe08c1ff4466ad41f6aa113678f5020d" Path = ""/>
<Information Value = "HPHmon06" Data = "C:\WINDOWS\system32\hphmon06.exe" MD5 = "a6fd829f428f6445b8f72ff725438590" Path = ""/>
<Information Value = "KBD" Data = "C:\HP\KBD\KBD.EXE" MD5 = "c81be1b951c36e97d3da90da745da5f7" Path = ""/>
<Information Value = "Recguard" Data = "C:\WINDOWS\SMINST\RECGUARD.EXE" MD5 = "310f1e8a0781887ba1c217448c0e4d48" Path = ""/>
<Information Value = "ccApp" Data = "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" MD5 = "565126cc4a79ca46d555ffdd479e71e3" Path = ""/>
<Information Value = "PS2" Data = "C:\WINDOWS\system32\ps2.exe" MD5 = "ff8ccc86c4e42f59b189bd28d362b599" Path = ""/>
<Information Value = "LSBWatcher" Data = "c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" MD5 = "9819c4f68686e9fe1d62dd0d4767ddd5" Path = ""/>
<Information Value = "Microsoft Works Update Detection" Data = "C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" MD5 = "7ebfae0a6d73d2d9c9a970a80935fd8f" Path = ""/>
<Information Value = "REGSHAVE" Data = "C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN"/>
<Information Value = "BJCFD" Data = "C:\Program Files\BroadJump\Client Foundation\CFD.exe" MD5 = "021e25cfae7607a411d06f2b504d2256" Path = ""/>
<Information Value = "Symantec NetDriver Monitor" Data = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" MD5 = "f9418981ee4d7e995d359833adab59d5" Path = ""/>
<Information Value = "MessengerPlus3" Data = "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" MD5 = "a995f7d9e1276d7c75a9c69d73073d25" Path = ""/>
<Information Value = "mixtitlegrimless" Data = "C:\Documents and Settings\All Users\Application Data\Defy amen mix title\WarnByte.exe"/>
<Information Value = "NI.UWFX5V_0001_0802" Data = "C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_0802NetInstaller.exe" MD5 = "e9f36e587753c7f469fd1718d27f71bb" Path = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Winlogon"/>
<Information Value = "Userinit" Data = "C:\WINDOWS\system32\userinit.exe,"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Windows"/>
<Information Value = "load" Data = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"/>
<Information Value = "PostBootReminder" Data = "{7849596a-48ea-486e-8937-a2a3009f31a9}"/>
<Information Value = "CDBurn" Data = "{fbeb8a05-beee-4442-804e-409d6c4515e9}"/>
<Information Value = "WebCheck" Data = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"/>
<Information Value = "SysTray" Data = "{35CEC8A3-2BE6-11D2-8773-92E220524153}"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler"/>
<Information Value = "{438755C2-A8BA-11D1-B96B-00A0C90312E1}" Data = "Pré-chargeur Browseui"/>
<Information Value = "{8C7461EF-2B13-11d2-BE35-3078302C2030}" Data = "Démon de cache des catégories de composant"/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\OLE"/>
<Information Value = "DefaultLaunchPermission" Data = ""/>
<Information Value = "MachineLaunchRestriction" Data = ""/>
<Information Value = "MachineAccessRestriction" Data = ""/>
<Information Value = "EnableDCOM" Data = "Y"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\Main"/>
<Information Value = "NoUpdateCheck" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "NoJITSetup" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "Cache_Update_Frequency" Data = "Once_Per_Session"/>
<Information Value = "Do404Search" Data = ""/>
<Information Value = "Local Page" Data = "C:\WINDOWS\system32\blank.htm"/>
<Information Value = "Start Page" Data = "http://www.msn.com"/>
<Information Value = "Window_Placement" Data = ""/>
<Information Value = "Default_Page_URL" Data = "http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop"/>
<Information Value = "Default_Search_URL" Data = "http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop"/>
<Information Value = "Search Bar" Data = "http://www.ptbvvvjghhwclh.com/d52dhBGx40T0sGvDb97uCZcAvoiZHSmQ/8RCKOpaKe5NbU8lxd21_LjuaNpkm9aE.htm"/>
<Information Value = "Use Custom Search URL" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "Window Title" Data = "Internet Explorer avec Club-Internet"/>
<Information Value = "AddToFavoritesExpanded" Data = "(DWORD) 0x1 0 0 0"/>
<Information Value = "Search Page" Data = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Internet Explorer\Main"/>
<Information Value = "Default_Page_URL" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>
<Information Value = "Default_Search_URL" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>
<Information Value = "Cache_Percent_of_Disk" Data = ""/>
<Information Value = "Local Page" Data = ""/>
<Information Value = "Anchor_Visitation_Horizon" Data = ""/>
<Information Value = "Placeholder_Width" Data = ""/>
<Information Value = "Placeholder_Height" Data = ""/>
<Information Value = "Start Page" Data = "http://www.msn.com"/>
<Information Value = "CompanyName" Data = "Microsoft Corporation"/>
<Information Value = "Custom_Key" Data = "MICROSO"/>
<Information Value = "Wizard_Version" Data = "6.00.2800.1017"/>
<Information Value = "Search Page" Data = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Internet Explorer\Search"/>
<Information Value = "SearchAssistant" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"/>
<Information Value = "CustomizeSearch" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\SearchURL"/>
<Information Value = "provider" Data = ""/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\URLSearchHooks"/>
<Information Value = "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}" Data = ""/>
<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Internet Explorer\Toolbar"/>
<Information Value = "{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}" Data = ""/>
<Information Value = "" Data = ""/>
<Information Value = "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" Data = "Norton AntiVirus"/>
<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\Toolbar"/>
<Information Value = "LinksFolderName" Data = "Liens"/>
<Information Value = "Locked" Data = "(DWORD) 0 0 0 0"/>
<Scanning TIME = "29 Sep 05 22:10:23">
<PROCESS NAME = "C:\WINDOWS\system32\services.exe" MD5 = "732e0b1abaace15d80ec19056b0a2af9"/>
<PROCESS NAME = "C:\WINDOWS\system32\lsass.exe" MD5 = "9f3744a5c6f49291a7a685040a013399"/>
<PROCESS NAME = "C:\WINDOWS\system32\Ati2evxx.exe" MD5 = "6bdb117f5cf40fe91ff50e1bb3f28184"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\System32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe" MD5 = "8f3a6da3ca461d9635901fc42feee570"/>
<PROCESS NAME = "C:\WINDOWS\system32\Ati2evxx.exe" MD5 = "6bdb117f5cf40fe91ff50e1bb3f28184"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe" MD5 = "5655b64e2989ea0380c2fd9004ed1b6c"/>
<PROCESS NAME = "c:\Program Files\Norton Internet Security\ISSVC.exe" MD5 = "64bc5239264896c8d8fce558cfba029b"/>
<PROCESS NAME = "C:\WINDOWS\Explorer.EXE" MD5 = "4c33e5b9a6197b6ed215f6cfba0a2daa"/>
<PROCESS NAME = "c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe" MD5 = "5675fdc8c2242e61a66738251acac38b"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe" MD5 = "443e397643965e08c5ab6a6caa732b97"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe" MD5 = "08fa56b7c13b4cbf0e5d351aecad92b1"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe" MD5 = "8b975b91f6339389b11d30b7fe87c8de"/>
<PROCESS NAME = "C:\WINDOWS\system32\spoolsv.exe" MD5 = "da81ec57acd4cdc3d4c51cf3d409af9f"/>
<PROCESS NAME = "C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE" MD5 = "11f714f85530a2bd134074dc30e99fca"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\system32\wdfmgr.exe" MD5 = "c81b8635dee0d3ef5f64b3dd643023a5"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe" MD5 = "67c5af84809468061121fbcbecb19285"/>
<PROCESS NAME = "C:\Program Files\Java\jre1.5.0\bin\jusched.exe" MD5 = "ffc7a8aa516b0d2a27dadf146eb538cc"/>
<PROCESS NAME = "C:\windows\system\hpsysdrv.exe" MD5 = "06a1ecb63df139ec639e084d4ab3c9d7"/>
<PROCESS NAME = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" MD5 = "fe1ae350f8e1642397c67a4402afdb48"/>
<PROCESS NAME = "C:\WINDOWS\system32\hphmon06.exe" MD5 = "a6fd829f428f6445b8f72ff725438590"/>
<PROCESS NAME = "C:\HP\KBD\KBD.EXE" MD5 = "c81be1b951c36e97d3da90da745da5f7"/>
<PROCESS NAME = "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" MD5 = "565126cc4a79ca46d555ffdd479e71e3"/>
<PROCESS NAME = "C:\WINDOWS\System32\alg.exe" MD5 = "2fe681d10c5fc343dbbc0610b8dd4d24"/>
<PROCESS NAME = "C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" MD5 = "7ebfae0a6d73d2d9c9a970a80935fd8f"/>
<PROCESS NAME = "C:\Program Files\BroadJump\Client Foundation\CFD.exe" MD5 = "021e25cfae7607a411d06f2b504d2256"/>
<PROCESS NAME = "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" MD5 = "a995f7d9e1276d7c75a9c69d73073d25"/>
<PROCESS NAME = "C:\Program Files\Messenger\msmsgs.exe" MD5 = "74e6e96c6f0e2eca4edbb7f7a468f259"/>
<PROCESS NAME = "C:\Program Files\MSN Messenger\msnmsgr.exe" MD5 = "e01dc180bb87c18df3f5372286f4c4ff"/>
<PROCESS NAME = "C:\Program Files\FinePixViewer\QuickDCF.exe" MD5 = "91e35f8e5c123ca3f1e5bad39fb57697"/>
<PROCESS NAME = "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe" MD5 = "c519cec624cf9bcba3059f32266c8fff"/>
<PROCESS NAME = "C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe" MD5 = "056b62587dcce5e9480745be84a0b765"/>
<PROCESS NAME = "C:\Program Files\Windows Media Player\wmplayer.exe" MD5 = "729b9edf60ef869abd5dd133f970e6ec"/>
<PROCESS NAME = "C:\Program Files\XoftSpy\XoftSpy.exe" MD5 = "88d3950e0efda1cfb807af8eb5ab740f"/>
<ScanningRegKeys>
</SW>
<SW NAME = "WinFixer2005">
<REGKEYFOUND NAME = "software\winsoftware"/>
<REGKEY NAME = "WinFixer2005 software\winsoftware"/>
</SW>
<SW NAME = "WinFixer2005">
<REGKEYFOUND NAME = "software\winsoftware\winfixer 2005"/>
<REGKEY NAME = "WinFixer2005 software\winsoftware\winfixer 2005"/>
</ScanningRegKeys>
<ScanningRegValues>
</ScanningRegValues>
<ScanningRegValuesChanged>
</ScanningRegValuesChanged>
<FILE PATH = "adtech cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@adtech[2].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@adtech[2].txt"/>
<FILE PATH = "falkag cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as-eu.falkag[2].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as-eu.falkag[2].txt"/>
<FILE PATH = "falkag cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as1.falkag[2].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as1.falkag[2].txt"/>
<FILE PATH = "atdmt cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@atdmt[2].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@atdmt[2].txt"/>
<FILE PATH = "bluestreak cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[2].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[2].txt"/>
<FILE PATH = "doubleclick cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@doubleclick[2].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@doubleclick[2].txt"/>
<FILE PATH = "mediaplex cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@mediaplex[1].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@mediaplex[1].txt"/>
<FILE PATH = "tradedoubler cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tradedoubler[1].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tradedoubler[1].txt"/>
<FILE PATH = "valueclick cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@valueclick[1].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@valueclick[1].txt"/>
<FILE PATH = "weborama cookie C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[2].txt"/>
<FILE PATH = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[2].txt"/>
</Scanning>

<Information Message = "Starting to Quarantine 12 Items"/>
<Quarantines>
<QTFILE PATH = "C:\Program Files\XoftSpy\Quarantine\Quarantine29-09-2005-22-12-05.xpy" />
<INFO ACTION = "Added"/>
<INFO TIME = "29-09-2005-22-12-05"/>
<REGKEY RES = "Exporting - software\winsoftware"/>
<REGKEY RES = "Exporting - software\winsoftware\winfixer 2005"/>
<QInformation Message = "Quarantining File adtech cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@adtech[2].txt"/>
<QInformation Message = "Quarantining File falkag cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as-eu.falkag[2].txt"/>
<QInformation Message = "Quarantining File falkag cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as1.falkag[2].txt"/>
<QInformation Message = "Quarantining File atdmt cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@atdmt[2].txt"/>
<QInformation Message = "Quarantining File bluestreak cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[2].txt"/>
<QInformation Message = "Quarantining File doubleclick cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@doubleclick[2].txt"/>
<QInformation Message = "Quarantining File mediaplex cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@mediaplex[1].txt"/>
<QInformation Message = "Quarantining File tradedoubler cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tradedoubler[1].txt"/>
<QInformation Message = "Quarantining File valueclick cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@valueclick[1].txt"/>
<QInformation Message = "Quarantining File weborama cookie - C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[2].txt"/>
</Quarantines>
<QInformation Message = "Quarantining File REG BACKUP - C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\regbackup.reg"/>
<Removal>
<SW NAME = "WinFixer2005">
<REGKEY NAME = "software\winsoftware"/>
<REGKEY RES = "Successfully ReMoved"/>
<REGKEY NAME = "software\winsoftware\winfixer 2005"/>
</SW>
<SW NAME = "adtech cookie">
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@adtech[2].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@adtech[2].txt Successfully ReMoved"/>
</SW>
<SW NAME = "falkag cookie">
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as-eu.falkag[2].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as-eu.falkag[2].txt Successfully ReMoved"/>
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as1.falkag[2].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as1.falkag[2].txt Successfully ReMoved"/>
</SW>
<SW NAME = "atdmt cookie">
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@atdmt[2].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@atdmt[2].txt Successfully ReMoved"/>
</SW>
<SW NAME = "bluestreak cookie">
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[2].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[2].txt Successfully ReMoved"/>
</SW>
<SW NAME = "doubleclick cookie">
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@doubleclick[2].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@doubleclick[2].txt Successfully ReMoved"/>
</SW>
<SW NAME = "mediaplex cookie">
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@mediaplex[1].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@mediaplex[1].txt Successfully ReMoved"/>
</SW>
<SW NAME = "tradedoubler cookie">
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tradedoubler[1].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tradedoubler[1].txt Successfully ReMoved"/>
</SW>
<SW NAME = "valueclick cookie">
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@valueclick[1].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@valueclick[1].txt Successfully ReMoved"/>
</SW>
<SW NAME = "weborama cookie">
<FILE NAME = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[2].txt"/>
<FILE RES = "C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[2].txt Successfully ReMoved"/>
</SW>
</Removal>
<Scanning TIME = "29 Sep 05 22:12:13">
<PROCESS NAME = "C:\WINDOWS\system32\services.exe" MD5 = "732e0b1abaace15d80ec19056b0a2af9"/>
<PROCESS NAME = "C:\WINDOWS\system32\lsass.exe" MD5 = "9f3744a5c6f49291a7a685040a013399"/>
<PROCESS NAME = "C:\WINDOWS\system32\Ati2evxx.exe" MD5 = "6bdb117f5cf40fe91ff50e1bb3f28184"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\System32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe" MD5 = "8f3a6da3ca461d9635901fc42feee570"/>
<PROCESS NAME = "C:\WINDOWS\system32\Ati2evxx.exe" MD5 = "6bdb117f5cf40fe91ff50e1bb3f28184"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe" MD5 = "5655b64e2989ea0380c2fd9004ed1b6c"/>
<PROCESS NAME = "c:\Program Files\Norton Internet Security\ISSVC.exe" MD5 = "64bc5239264896c8d8fce558cfba029b"/>
<PROCESS NAME = "C:\WINDOWS\Explorer.EXE" MD5 = "4c33e5b9a6197b6ed215f6cfba0a2daa"/>
<PROCESS NAME = "c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe" MD5 = "5675fdc8c2242e61a66738251acac38b"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe" MD5 = "443e397643965e08c5ab6a6caa732b97"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe" MD5 = "08fa56b7c13b4cbf0e5d351aecad92b1"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe" MD5 = "8b975b91f6339389b11d30b7fe87c8de"/>
<PROCESS NAME = "C:\WINDOWS\system32\spoolsv.exe" MD5 = "da81ec57acd4cdc3d4c51cf3d409af9f"/>
<PROCESS NAME = "C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE" MD5 = "11f714f85530a2bd134074dc30e99fca"/>
<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "1bd6c2f707a275cb7c16fd99fe0f31ca"/>
<PROCESS NAME = "C:\WINDOWS\system32\wdfmgr.exe" MD5 = "c81b8635dee0d3ef5f64b3dd643023a5"/>
<PROCESS NAME = "c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe" MD5 = "67c5af84809468061121fbcbecb19285"/>
<PROCESS NAME = "C:\Program Files\Java\jre1.5.0\bin\jusched.exe" MD5 = "ffc7a8aa516b0d2a27dadf146eb538cc"/>
<PROCESS NAME = "C:\windows\system\hpsysdrv.exe" MD5 = "06a1ecb63df139ec639e084d4ab3c9d7"/>
<PROCESS NAME = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" MD5 = "fe1ae350f8e1642397c67a4402afdb48"/>
<PROCESS NAME = "C:\WINDOWS\system32\hphmon06.exe" MD5 = "a6fd829f428f6445b8f72ff725438590"/>
<PROCESS NAME = "C:\HP\KBD\KBD.EXE" MD5 = "c81be1b951c36e97d3da90da745da5f7"/>
<PROCESS NAME = "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" MD5 = "565126cc4a79ca46d555ffdd479e71e3"/>
<PROCESS NAME = "C:\WINDOWS\System32\alg.exe" MD5 = "2fe681d10c5fc343dbbc0610b8dd4d24"/>
<PROCESS NAME = "C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" MD5 = "7ebfae0a6d73d2d9c9a970a80935fd8f"/>
<PROCESS NAME = "C:\Program Files\BroadJump\Client Foundation\CFD.exe" MD5 = "021e25cfae7607a411d06f2b504d2256"/>
<PROCESS NAME = "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" MD5 = "a995f7d9e1276d7c75a9c69d73073d25"/>
<PROCESS NAME = "C:\Program Files\Messenger\msmsgs.exe" MD5 = "74e6e96c6f0e2eca4edbb7f7a468f259"/>
<PROCESS NAME = "C:\Program Files\MSN Messenger\msnmsgr.exe" MD5 = "e01dc180bb87c18df3f5372286f4c4ff"/>
<PROCESS NAME = "C:\Program Files\FinePixViewer\QuickDCF.exe" MD5 = "91e35f8e5c123ca3f1e5bad39fb57697"/>
<PROCESS NAME = "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe" MD5 = "c519cec624cf9bcba3059f32266c8fff"/>
<PROCESS NAME = "C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe" MD5 = "056b62587dcce5e9480745be84a0b765"/>
<PROCESS NAME = "C:\Program Files\Windows Media Player\wmplayer.exe" MD5 = "729b9edf60ef869abd5dd133f970e6ec"/>
<PROCESS NAME = "C:\Program Files\XoftSpy\XoftSpy.exe" MD5 = "88d3950e0efda1cfb807af8eb5ab740f"/>
<ScanningRegKeys>
</ScanningRegKeys>
<ScanningRegValues>
</ScanningRegValues>
<ScanningRegValuesChanged>
</ScanningRegValuesChanged>
</Scanning>

Répondre à louh
OmaR   30-09-2005 à 09:28:11
- 0 +

euh non. Mais je t'avais dit de créer un nouveau topic !!!!!

Postes un log HijackThis.

Télécharges le, puis mets le dans un dossier dédié.
Ensuite, tu le lances, tu appuyes sur Do a system scan a save a logfile, et tu nous donnes le résultat du scan :-)

Répondre à OmaR
djkoy   23-11-2005 à 11:38:11
- 0 +

bonjour a vous moi aussi j'ai eu un soucis avec winfixer 2005 que j'ai retirer mais qui reviens lorsque je surf sur le net donc j'ai installé hitjachthis et voila le resultat ! ! , ais je donc un probleme ! !

merci.

Logfile of HijackThis v1.99.1
Scan saved at 11:34:41, on 23/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\srshost.exe
C:\WINDOWS\Qk9C\command.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\DavCData.exe
E:\seb log\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\seb log\seb film et zic\jeu a traiter\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rejoignez.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: MSEvents Object - {CE70731D-F28D-4D81-9D61-C8EE60378401} - C:\WINDOWS\System32\pmnmn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2359690975
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 2417396082
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF4458C-472F-46F5-9102-AD1B1D35B2EB}: NameServer = 80.118.196.40 80.118.192.110
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\
O20 - Winlogon Notify: pmnmn - C:\WINDOWS\System32\pmnmn.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Qk9C\command.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: W2k PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)


Répondre à djkoy
OmaR   24-11-2005 à 14:52:43
- 0 +

Salut,

Merci de créer un nouveau topic à l'avenir et de ne pas skouater le topic des autres! Merci :-)

Fais ceci :

1/ Redémarrer en mode sans échec

Redémarre l'ordinateur. Après les écritures du BIOS, appuyes sur F8 (ou F5 si F8 marche pas) pour arriver à un menu avec des écritures blanches sur un fond noir.

Dans ce menu, tu dois pouvoir choisir le mode sans échec (celà se passe avec les flèches et Entrée pour valider).

Le démarrage en mode sans échec est souvent relativement long. Si tu as des écritures blanches bizarres, ne t'inquiètes pas.
Prend juste ton mal en patience. ;-)


2/ Fixer des lignes

Relances HijackThis. Choisi Do a system scan only cette fois-ci.
Puis coche les lignes suivantes, et appuie sur Fix Checked.


O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe

O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O20 - Winlogon Notify: Group Policy - C:\WINDOWS\

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Qk9C\command.exe

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)


3/ Afficher tous les fichiers

Dans l'explorateur de Windows (par ex) :
Outils -> Options des dossier -> onglet Affichage

Coche : Afficher les fichiers cachés
Décoche : Masquer les extensions des types connus
Décoche : Masquer les fichiers protégés du système d'exploitation


4/ Supprimer des services

Démarrer -> Exécuter -> services.msc

Trouve, arrête les s'ils sont démarrés, et désactive les services suivants :

Command Service (cmdService)
MS Dns Service (WinNet)
Windows Time Sync (wservtime)


5/ Supprimer des programmes

Panneau de configuration -> Ajout/Suppression de programmes
Trouve et supprime les programmes suivants (tu ne les trouveras pas forcément tous) :

Windows AdTools


6/ Supprimer des fichiers

Supprime les fichiers / dossiers en gras suivants :

C:\Program Files\Windows AdTools\ (suppr. ce dossier)
C:\WINDOWS\system32\srshost.exe (/!\ Attention /!\ ne touche pas à svchost.exe)
C:\WINDOWS\Qk9C\ (suppr. ce dossier)
C:\WINDOWS\system32\wincntrl.exe
C:\WINDOWS\csrss.exe (/!\ Attention, celui dans C:\Windows ! pas dans C:\Windows\system32 !!)



7/ Redémarrer normalement

Redémarre normalement l'ordinateur.


8/ Remettre la configuration de l'affichage des fichiers comme avant

Dans l'explorateur de Windows (par ex) :
Outils -> Options des dossier -> onglet Affichage
Remet tout comme avant (si tu affichais déjà tous les fichiers, ne change rien).

Décoche : Afficher les fichiers cachés
Coche : Masquer les extensions des types connus
Coche : Masquer les fichiers protégés du système d'exploitation


9/ Nettoyer les traces avec CCleaner et Kaspersky

Fais des analyses avec CCleaner et Kaspersky.

Si tu ne sais pas utiliser Kaspersky :

Citation :

Alors, pour le scan online de Kaspersky, fais ceci :
- va ici (obligé d'utiliser IE)
- choisi Kaspersky Online Scanner
- dans la popup qui s'ouvre, choisi Accept
- là, il met à jour les définitions de virus
- il peut te demander d'accepter un ActiveX, accepte le, une fois que la mise à jour est finie
- clique sur Next
- puis clique sur My computer
- attend que le scan se réalise
- post ton log final




10/ Reposter un log

Relances HijackThis. Choisi Do a system scan and save a logfile.
Et repostes nous ton nouveau log en nous précisant les étapes que tu n'as pas réussi.

Répondre à OmaR
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > je na sais pas si je suis infecte par winfixer 2005?
Aller à :

Il y a 2310 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,315 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens