Pb de fichiers EXE dans le system32
Dernière réponse : dans Sécurité
Bonjour à tous.
Je tourne sous 2000 et j'ai découvert qu'un fichier *.exe différent à chaque fois voulais prendre accès à internet. j'interdit, j'héradique, mais un fichier exe différent revient à chaque redémarrage.
Avast 4.6 pro a fini par chopper un trojan nommé VBS:Malware[gen], mais je ne suis pas sûr que tout soit en relation.
Après avoir passé Ccleaner et Ewido, voilà ce que me donne Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 13:42:34, on 24/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Pinnacle\Studio PCTV\Remote\Remoterm.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Pinnacle\Studio PCTV\bin\Vision.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ehdqnsyfekorgn.com/YLe4K5TYDFGhpDmSvKeiKcTKo...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ejgpoqxowmxuqrxfoxkek.com/YLe4K5TYDFHNhJxXUE...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL (file missing)
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\termrara.exe,C:\WINNT\system32\helpdisp.exe,C:\WINNT\system32\msimrenv.exe,C:\WINNT\system32\secesion.exe,C:\WINNT\system32\msidonfg.exe,C:\WINNT\system32\csrsname.exe,C:\WINNT\system32\legacapi.exe
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: (no name) - {66573093-E57A-D1B6-B2FD-4341DCAE371D} - C:\DOCUME~1\ADMINI~1\APPLIC~1\MIXAIM~1\bib data.exe
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sstata] C:\winnt\system32\dwdas.exe
O4 - HKLM\..\Run: [dasxdads] fsdqd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Studio PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Remote Media] C:\WINNT\system32\legacapi.exe
O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20000\services.exe
O4 - HKLM\..\Run: [aexehgvf] C:\WINNT\system32\aexehgvf.exe
O4 - HKLM\..\Run: [POP DALE IDOL JUGS] C:\Documents and Settings\All Users\Application Data\THE EACH POP DALE\Start extra.exe
O4 - HKLM\..\RunServices: [dasxdads] fsdqd.exe
O4 - HKCU\..\Run: [dasxdads] fsdqd.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [stupidtwo] C:\DOCUME~1\ADMINI~1\APPLIC~1\POPFLA~1\drv copy each.exe
O4 - HKCU\..\Run: [Remote Media] C:\WINNT\system32\legacapi.exe
O4 - HKCU\..\Run: [aexehgvf] C:\WINNT\system32\aexehgvf.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{714F63A1-E075-4E61-B655-29C1B1BCDFA8}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: IEFilter - {C5B740EA-AC79-472F-BEF0-67DFA5355E6C} - C:\WINNT\system32\IEFilter.dll
O21 - SSODL: Network Player - {A64EC55C-6A6D-4852-A027-E42092869A41} - C:\WINNT\system32\rtmbdfc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe
Voyez vous qqchose de curieux là dedans, d'inutile ou d'alarmant??
merci
Je tourne sous 2000 et j'ai découvert qu'un fichier *.exe différent à chaque fois voulais prendre accès à internet. j'interdit, j'héradique, mais un fichier exe différent revient à chaque redémarrage.
Avast 4.6 pro a fini par chopper un trojan nommé VBS:Malware[gen], mais je ne suis pas sûr que tout soit en relation.
Après avoir passé Ccleaner et Ewido, voilà ce que me donne Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 13:42:34, on 24/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Pinnacle\Studio PCTV\Remote\Remoterm.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Pinnacle\Studio PCTV\bin\Vision.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ehdqnsyfekorgn.com/YLe4K5TYDFGhpDmSvKeiKcTKo...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ejgpoqxowmxuqrxfoxkek.com/YLe4K5TYDFHNhJxXUE...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL (file missing)
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\termrara.exe,C:\WINNT\system32\helpdisp.exe,C:\WINNT\system32\msimrenv.exe,C:\WINNT\system32\secesion.exe,C:\WINNT\system32\msidonfg.exe,C:\WINNT\system32\csrsname.exe,C:\WINNT\system32\legacapi.exe
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: (no name) - {66573093-E57A-D1B6-B2FD-4341DCAE371D} - C:\DOCUME~1\ADMINI~1\APPLIC~1\MIXAIM~1\bib data.exe
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sstata] C:\winnt\system32\dwdas.exe
O4 - HKLM\..\Run: [dasxdads] fsdqd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Studio PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Remote Media] C:\WINNT\system32\legacapi.exe
O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20000\services.exe
O4 - HKLM\..\Run: [aexehgvf] C:\WINNT\system32\aexehgvf.exe
O4 - HKLM\..\Run: [POP DALE IDOL JUGS] C:\Documents and Settings\All Users\Application Data\THE EACH POP DALE\Start extra.exe
O4 - HKLM\..\RunServices: [dasxdads] fsdqd.exe
O4 - HKCU\..\Run: [dasxdads] fsdqd.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [stupidtwo] C:\DOCUME~1\ADMINI~1\APPLIC~1\POPFLA~1\drv copy each.exe
O4 - HKCU\..\Run: [Remote Media] C:\WINNT\system32\legacapi.exe
O4 - HKCU\..\Run: [aexehgvf] C:\WINNT\system32\aexehgvf.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{714F63A1-E075-4E61-B655-29C1B1BCDFA8}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: IEFilter - {C5B740EA-AC79-472F-BEF0-67DFA5355E6C} - C:\WINNT\system32\IEFilter.dll
O21 - SSODL: Network Player - {A64EC55C-6A6D-4852-A027-E42092869A41} - C:\WINNT\system32\rtmbdfc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe
Voyez vous qqchose de curieux là dedans, d'inutile ou d'alarmant??
merci
Autres pages sur : fichiers exe system32
Lassé par la pub ? Créez un compte
Salut,
1/ Redemarre en mode sans echec
/!\ Tu n'as pas acces a Internet dans ce mode, note bien les instructions /!\
Desinstalle si possible
MessengerPlus
Télécharge Lop.Remover
http://clairvoyant.p2pforum.it/tools/lopremover.zip
Dezippe le sur ton bureau puis lance l'application.
2/ Lance Hijackthis ->Do a system scan only
->Coche les lignes puis Fix checked
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ehdqnsyfekorgn.com/YLe4K5TYDFGhpDmSvKeiKcTKo...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ejgpoqxowmxuqrxfoxkek.com/YLe4K5TYDFHNhJxXUE...
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL (file missing)
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\termrara.exe,C:\WINNT\system32\helpdisp.exe,C:\WINNT\system32\msimrenv.exe,C:\WINNT\system32\secesion.exe,C:\WINNT\system32\msidonfg.exe,C:\WINNT\system32\csrsname.exe,C:\WINNT\system32\legacapi.exe
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: (no name) - {66573093-E57A-D1B6-B2FD-4341DCAE371D} - C:\DOCUME~1\ADMINI~1\APPLIC~1\MIXAIM~1\bib data.exe
O4 - HKLM\..\Run: [sstata] C:\winnt\system32\dwdas.exe
O4 - HKLM\..\Run: [dasxdads] fsdqd.exe
O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20000\services.exe
O4 - HKLM\..\Run: [aexehgvf] C:\WINNT\system32\aexehgvf.exe
O4 - HKLM\..\Run: [POP DALE IDOL JUGS] C:\Documents and Settings\All Users\Application Data\THE EACH POP DALE\Start extra.exe
O4 - HKLM\..\RunServices: [dasxdads] fsdqd.exe
O4 - HKCU\..\Run: [dasxdads] fsdqd.exe
O4 - HKCU\..\Run: [stupidtwo] C:\DOCUME~1\ADMINI~1\APPLIC~1\POPFLA~1\drv copy each.exe
O4 - HKCU\..\Run: [Remote Media] C:\WINNT\system32\legacapi.exe
O4 - HKCU\..\Run: [aexehgvf] C:\WINNT\system32\aexehgvf.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O21 - SSODL: IEFilter - {C5B740EA-AC79-472F-BEF0-67DFA5355E6C} - C:\WINNT\system32\IEFilter.dll
2/ Lance Hijackthis ->Do a system scan only
->Coche les lignes puis Fix checked
Assure toi d'avoir acces au dossier/fichiers caches
->Panneau de configuration
->Options dossiers
->Coche Afficher les dossiers caches
Decoche Masquer les extensions...
Decoche Masquer les fichiers proteges...
3/ Suppime ces fichiers/dossiers si existe
C:\DOCUME~1\ADMINI~1\APPLIC~1\MIXAIM~1
C:\winnt\system32\dwdas.exe
C:\WINNT\inet20000\services.exe
C:\Documents and Settings\All Users\Application Data\THE EACH POP DALE
fsdqd.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\POPFLA~1
C:\WINNT\system32\legacapi.exe
C:\WINNT\system32\aexehgvf.exe
C:\WINNT\system32\IEFilter.dll
Redemarre normalement
4/ Lance un nettoyage Ccleaner
(N’oublie pas de supprimer les Erreurs (a gauche))
5/ Lance un scan Ewido(mis a jour)
Sauvegarde puis colle le rapport Ewido
6/Fais un scan en ligne Panda (avec IE)
Sauvegarde, colle le rapport
7/ Reposte un log Hijackthis
1/ Redemarre en mode sans echec
/!\ Tu n'as pas acces a Internet dans ce mode, note bien les instructions /!\
Desinstalle si possible
MessengerPlus
Télécharge Lop.Remover
http://clairvoyant.p2pforum.it/tools/lopremover.zip
Dezippe le sur ton bureau puis lance l'application.
2/ Lance Hijackthis ->Do a system scan only
->Coche les lignes puis Fix checked
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ehdqnsyfekorgn.com/YLe4K5TYDFGhpDmSvKeiKcTKo...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ejgpoqxowmxuqrxfoxkek.com/YLe4K5TYDFHNhJxXUE...
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL (file missing)
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\termrara.exe,C:\WINNT\system32\helpdisp.exe,C:\WINNT\system32\msimrenv.exe,C:\WINNT\system32\secesion.exe,C:\WINNT\system32\msidonfg.exe,C:\WINNT\system32\csrsname.exe,C:\WINNT\system32\legacapi.exe
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: (no name) - {66573093-E57A-D1B6-B2FD-4341DCAE371D} - C:\DOCUME~1\ADMINI~1\APPLIC~1\MIXAIM~1\bib data.exe
O4 - HKLM\..\Run: [sstata] C:\winnt\system32\dwdas.exe
O4 - HKLM\..\Run: [dasxdads] fsdqd.exe
O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20000\services.exe
O4 - HKLM\..\Run: [aexehgvf] C:\WINNT\system32\aexehgvf.exe
O4 - HKLM\..\Run: [POP DALE IDOL JUGS] C:\Documents and Settings\All Users\Application Data\THE EACH POP DALE\Start extra.exe
O4 - HKLM\..\RunServices: [dasxdads] fsdqd.exe
O4 - HKCU\..\Run: [dasxdads] fsdqd.exe
O4 - HKCU\..\Run: [stupidtwo] C:\DOCUME~1\ADMINI~1\APPLIC~1\POPFLA~1\drv copy each.exe
O4 - HKCU\..\Run: [Remote Media] C:\WINNT\system32\legacapi.exe
O4 - HKCU\..\Run: [aexehgvf] C:\WINNT\system32\aexehgvf.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O21 - SSODL: IEFilter - {C5B740EA-AC79-472F-BEF0-67DFA5355E6C} - C:\WINNT\system32\IEFilter.dll
2/ Lance Hijackthis ->Do a system scan only
->Coche les lignes puis Fix checked
Assure toi d'avoir acces au dossier/fichiers caches
->Panneau de configuration
->Options dossiers
->Coche Afficher les dossiers caches
Decoche Masquer les extensions...
Decoche Masquer les fichiers proteges...
3/ Suppime ces fichiers/dossiers si existe
C:\DOCUME~1\ADMINI~1\APPLIC~1\MIXAIM~1
C:\winnt\system32\dwdas.exe
C:\WINNT\inet20000\services.exe
C:\Documents and Settings\All Users\Application Data\THE EACH POP DALE
fsdqd.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\POPFLA~1
C:\WINNT\system32\legacapi.exe
C:\WINNT\system32\aexehgvf.exe
C:\WINNT\system32\IEFilter.dll
Redemarre normalement
4/ Lance un nettoyage Ccleaner
(N’oublie pas de supprimer les Erreurs (a gauche))
5/ Lance un scan Ewido(mis a jour)
Sauvegarde puis colle le rapport Ewido
6/Fais un scan en ligne Panda (avec IE)
Sauvegarde, colle le rapport
7/ Reposte un log Hijackthis
Encore merci pour les explications.
Tout s'est bien passé, sauf le rapport de Panda que je n'ai pas su trouver. :?
Au moment du redémarrage en mode normal, Ewido m'a mis une alarme avec deux Exe dans le system32 qu'il a trouvé au démarrage.
Une fois les scans fait de CCleaner, Ewido, Panda et Hijackthis, voilà les rapports:
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 10:16:23, 25/03/2006
+ Somme de contrôle: FF8D056F
+ Résultats du scan:
:mozilla.19:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z5f8hag4.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.20:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z5f8hag4.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
::Fin du rapport
et
Logfile of HijackThis v1.99.1
Scan saved at 10:24:10, on 25/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\Pinnacle\Studio PCTV\Remote\Remoterm.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Studio PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O17 - HKLM\System\CCS\Services\Tcpip\..\{714F63A1-E075-4E61-B655-29C1B1BCDFA8}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: Network Player - {A64EC55C-6A6D-4852-A027-E42092869A41} - C:\WINNT\system32\lhaccr70.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Service - Unknown owner - C:\WINNT\system32\Service.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe
voilà,
merci encore
Tout s'est bien passé, sauf le rapport de Panda que je n'ai pas su trouver. :?
Au moment du redémarrage en mode normal, Ewido m'a mis une alarme avec deux Exe dans le system32 qu'il a trouvé au démarrage.
Une fois les scans fait de CCleaner, Ewido, Panda et Hijackthis, voilà les rapports:
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 10:16:23, 25/03/2006
+ Somme de contrôle: FF8D056F
+ Résultats du scan:
:mozilla.19:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z5f8hag4.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.20:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z5f8hag4.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
::Fin du rapport
et
Logfile of HijackThis v1.99.1
Scan saved at 10:24:10, on 25/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\Pinnacle\Studio PCTV\Remote\Remoterm.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Studio PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O17 - HKLM\System\CCS\Services\Tcpip\..\{714F63A1-E075-4E61-B655-29C1B1BCDFA8}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: Network Player - {A64EC55C-6A6D-4852-A027-E42092869A41} - C:\WINNT\system32\lhaccr70.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Service - Unknown owner - C:\WINNT\system32\Service.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe
voilà,
merci encore
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumSystem32 cmd exe
- ForumC windows system32 rundll32 exe
- ForumPb windows system32 config system
- ForumPb ouverture dossier system32
- ForumComment reinstaller system32 exe rundll32 exe
- ForumSystem32 rundll32 exe
- ForumWindows system32 rundll32 exe
- ForumWindows system32 cmd exe
- ForumSystem32 cmd exe manquant sous ubuntu
- ForumWindows system32 ntkrnlpa exe
- Voir plus
