[RESOLU] Magic control Agent

Bonjour

Rien d'infectieux dans ce rapport.

Pourquoi bizarre ?

Une personne est infecté par les pubs "system doctor" sur IE.
Malheuresement celle ci veut rester sur IE.

Ad-aware (par contre ad-aware se bloque sur un fichier et l'ordi plante...),
spybot, ewido, spy sweeper,counter spy ne detecte rien....(je ne vais pas tous citer bien sur)
prealablement nettoyage avec ccleaner...

Rien d'infectieux dans le rapport hijackthis.

Passage de F-secure blacklight aussi.
Passage de SmitFraudFix qui ne detecte rien aussi.
Passage de plusieurs antivirus qui ne detectent rien.


Malgré tout les scans cette pub s'affiche toujours avec casino explorer...
D'autres idees?

On cherche.

Télécharge WinPFind
http://www.bleepingcomputer.com/files/oldtimer/WinPFind...
dezippe le et lance winpfind.exe
clic sur Start Scan et soit patient ca peut durer une demi heure
Poste le rapport

Merci voici le rapport.


WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
aspack 05/01/2006 14:40:02 535040 C:\WINDOWS\flashax.exe

Checking %System% folder...
UPX! 12/11/2005 16:59:18 473600 C:\WINDOWS\SYSTEM32\asw30.tmp
UPX! 31/05/2006 11:02:04 624640 C:\WINDOWS\SYSTEM32\aswBoot.exe
aspack 22/07/2005 19:59:04 2319568 C:\WINDOWS\SYSTEM32\d3dx9_27.dll
PEC2 28/08/2001 14:00:00 41131 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 19/04/2006 22:09:20 619156 C:\WINDOWS\SYSTEM32\divx.dll
PECompact2 19/04/2006 22:09:20 619156 C:\WINDOWS\SYSTEM32\divx.dll
UPX! 19/02/2002 13:38:18 168960 C:\WINDOWS\SYSTEM32\dvdaudio.ax
UPX! 24/11/2001 20:31:48 65536 C:\WINDOWS\SYSTEM32\FraunhoferAudio.ax
UPX! 24/11/2001 20:28:14 86528 C:\WINDOWS\SYSTEM32\FraunhoferVideo.ax
Umonitor 15/01/2001 23:03:54 331776 C:\WINDOWS\SYSTEM32\ipebase12.dll
Umonitor 29/08/2002 12:44:56 658944 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 28/08/2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
18/07/2006 14:32:44 S 2048 C:\WINDOWS\bootstat.dat
18/07/2006 00:55:16 H 54156 C:\WINDOWS\QTFont.qfn
01/07/2006 00:50:14 H 0 C:\WINDOWS\LastGood\INF\MediaLogic.inf
01/07/2006 00:50:14 H 0 C:\WINDOWS\LastGood\INF\MediaLogic.PNF
25/06/2006 11:09:08 H 0 C:\WINDOWS\LastGood\INF\oem10.inf
25/06/2006 11:09:08 H 0 C:\WINDOWS\LastGood\INF\oem10.PNF
12/07/2006 13:48:58 H 0 C:\WINDOWS\LastGood\INF\oem11.inf
12/07/2006 13:48:58 H 0 C:\WINDOWS\LastGood\INF\oem11.PNF
22/05/2006 15:07:50 S 7645 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\oem9.CAT
22/05/2006 15:07:50 S 7645 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\TempDir\oem9.CAT
18/07/2006 14:34:46 H 1024 C:\WINDOWS\system32\config\default.LOG
18/07/2006 14:32:46 H 1024 C:\WINDOWS\system32\config\SAM.LOG
18/07/2006 14:42:54 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
18/07/2006 15:41:36 H 1024 C:\WINDOWS\system32\config\software.LOG
18/07/2006 15:46:58 H 1024 C:\WINDOWS\system32\config\system.LOG
18/07/2006 14:32:48 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 28/08/2001 14:00:00 69120 C:\WINDOWS\SYSTEM32\access.cpl
Realtek Semiconductor Corp. 24/03/2005 21:10:48 17899520 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL
Microsoft Corporation 29/08/2002 12:45:16 583680 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 29/08/2002 12:45:16 132096 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 28/08/2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 30/08/2002 19:24:06 293376 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 29/08/2002 12:45:16 126464 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29/08/2002 12:45:16 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 03/05/2006 02:56:54 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 28/08/2001 14:00:00 189952 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 28/08/2001 14:00:00 567296 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 28/08/2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 28/08/2001 14:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 26/09/2002 16:11:00 118784 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 28/08/2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 28/08/2001 14:00:00 112640 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 15/04/2004 17:28:56 324608 C:\WINDOWS\SYSTEM32\QuickTime.cpl
29/12/2002 02:14:38 81920 C:\WINDOWS\SYSTEM32\Startup.cpl
Microsoft Corporation 29/08/2002 12:45:16 274944 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 28/08/2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 28/08/2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 28/08/2001 14:00:00 69120 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 29/08/2002 12:45:16 583680 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 29/08/2002 12:45:16 132096 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 28/08/2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 30/08/2002 19:24:06 293376 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 29/08/2002 12:45:16 126464 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 29/08/2002 12:45:16 66560 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 28/08/2001 14:00:00 189952 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 28/08/2001 14:00:00 567296 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 28/08/2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 28/08/2001 14:00:00 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 28/08/2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 28/08/2001 14:00:00 112640 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 29/08/2002 12:45:16 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 29/08/2002 12:45:16 274944 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 28/08/2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 28/08/2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
01/11/2005 22:10:44 HS 84 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\desktop.ini
28/04/2006 15:54:04 1757 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
01/11/2005 21:59:40 HS 62 C:\Documents and Settings\All Users\Application Data\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
01/11/2005 22:10:44 HS 84 C:\Documents and Settings\Réda et FZ\Menu Démarrer\Programmes\Démarrage\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
01/11/2005 21:59:40 HS 62 C:\Documents and Settings\Réda et FZ\Application Data\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\avast
{472083B0-C522-11CF-8763-00608CC02F24} = D:\Program Files\Alwil Software\Avast4\ashShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = D:\Program Files\ewido anti-spyware 4.0\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Program Files\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Épingle du menu Démarrer = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\avast
{472083B0-C522-11CF-8763-00608CC02F24} = D:\Program Files\Alwil Software\Avast4\ashShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\UnlockerShellExtension
{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} = D:\Program Files\Unlocker\UnlockerCOM.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Program Files\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = D:\Program Files\ewido anti-spyware 4.0\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Program Files\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= D:\PROGRA~1\SPYBOT~1\SDHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
SSVHelper Class = C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\program files\google\googletoolbar1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Astuce du jour = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\program files\google\googletoolbar1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Console Java (Sun) : C:\Program Files\Java\jre1.5.0_07\bin\npjpi150_07.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
ButtonText = Recherche :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B205A35E-1FC4-4CE3-818B-899DBBB3388C}
MenuText = :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Bande de recherche = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
Bandeau de recherche de l'Explorateur = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\program files\google\googletoolbar1.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Liens : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Liens : %SystemRoot%\system32\SHELL32.dll
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = &Yahoo! Toolbar :
{DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} = :
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\program files\google\googletoolbar1.dll
{4E7BD74F-2B8D-469E-D7EC-ED6DB68DFA7D} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
PCTVOICE pctspk.exe
nwiz nwiz.exe /install
KeyMaestro C:\KMaestro\KMaestro.exe
HPDJ Taskbar Utility C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
avast! D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
QuickTime Task "D:\Program Files\QuickTime\qttask.exe" -atboottime
mouseElf C:\PROGRA~1\GAMING~1\MouseElf.EXE
SunJavaUpdateSched C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
SunJavaUpdateSched C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandFrom

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandTo

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\FICHIE~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings\Key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoLowDiskSpaceChecks 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableRegistryTools 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 18/07/2006 15:47:58

Rien dans ce rapport.

As tu déja fixer des lignes dans HijackThis ?

Sur quel fichier bloque AdAware ?

Télécharge Registry Search
http://www.bleepingcomputer.com/files/misc/RegSearch.zi...
Dézippe le sur le bureau et double-clique sur RegSearch.exe

copie colle le nom doctor dans la zone de recherche et clique sur OK

Après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées
Le fichier est sauvegardé dans le même répertoire que celui de RegSearch
Copie-colle le contenu de la fenêtre pour le mettre dans ton prochain post.

Aucune ligne fixer dans hijackthis.

Ad-aware a planté sur "documents settings >application data"


Voici le rapport:


REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 18/07/2006 19:39:03 for strings:
; 'doctor'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\doctorwaldron.com]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\doctorwaldron.com]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\doctorwaldron.com]

[HKEY_USERS\S-1-5-21-1844237615-1078145449-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\doctorwaldron.com]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\doctorwaldron.com]

; End Of The Log...

Re

Rien de flagrant.

Créer un fichier Sys32-gM.bat

Démarrer / Exécuter / tape notepad et clique sur OK
Copie-colle les 11 lignes ci-dessous dans la fenêtre


Sauvegarder le fichier sur le bureau sous le nom Sys32-gM.bat (et pas Sys32-gM.bat.txt)
Quitter Notepad
Vérifier le nom de ce fichier : Sys32-gM.bat

Double cliquer dessus (une fenêtre sur fond noir s'ouvre puis se ferme)
Avec l'Explorateur Windows, double cliquer sur le fichier C:\Sys32-gM.txt pour l'ouvrir dans le bloc notes
Poster le contenu
Supprimer le fichier C:\Sys32-gM.txt
Supprimer le fichier Sys32-gM.bat du bureau

Fais aussi ceci.

Télécharges Lopxp.zip
http://pageperso.aol.fr/balltrap34/lopxp.zip
Dézippes le sur le Bureau
Lances le fichier lopxp.bat
Postes le rapport

Ok merci,


Avant de poster le regsearch sur le forum, je l'avais utiliser sur son pc mais le rapport ne donner aucune clé au depart.
Après l'avoir utiliser 3 fois il a reussi à trouver les 5 clés liées à "doctor". Est-ce normal?


-Voici le contenu du "Sys32-gM.bat":

17/07/2006 01:12 6ÿ846 jupdate-1.5.0_06-b05.log
17/07/2006 16:38 <REP> config
17/07/2006 16:38 <REP> wbem
17/07/2006 16:45 6ÿ777 jupdate-1.5.0_07-b03.log
17/07/2006 19:38 <REP> Macromed
18/07/2006 19:29 2ÿ958 mouseconfig.inf
18/07/2006 19:30 <REP> .
18/07/2006 19:30 <REP> ..
18/07/2006 21:34 <REP> CatRoot2







-Voici le rapport "Lopxp"


Rapport fait à 23:08:36,34 le 18/07/2006

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8

R‚pertoire de C:\Documents and Settings\Administrator\Application Data

01/11/2005 23:57 <REP> ..
01/11/2005 23:57 <REP> Microsoft
01/11/2005 23:57 <REP> .
0 fichier(s) 0 octets
3 R‚p(s) 791650304 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8

R‚pertoire de C:\Documents and Settings\All Users\Application Data

17/06/2006 15:23 <REP> Google
28/04/2006 15:53 <REP> Adobe
24/03/2006 17:20 <REP> Spybot - Search & Destroy
29/01/2006 12:17 <REP> MSN6
07/12/2005 20:42 <REP> Windows Genuine Advantage
19/11/2005 12:08 <REP> Messenger Plus!
02/11/2005 00:55 <REP> QuickTime
01/11/2005 21:59 62 desktop.ini
01/11/2005 21:59 <REP> ..
01/11/2005 21:59 <REP> .
01/11/2005 21:59 <REP> Microsoft
1 fichier(s) 62 octets
10 R‚p(s) 791646208 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8

R‚pertoire de C:\Documents and Settings\Default User\Application Data

01/11/2005 21:59 62 desktop.ini
01/11/2005 21:59 <REP> ..
01/11/2005 21:59 <REP> Microsoft
01/11/2005 21:59 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 791646208 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8

R‚pertoire de C:\Documents and Settings\R‚da et FZ\Application Data

17/07/2006 19:41 <REP> Opera
17/07/2006 19:30 <REP> Macromedia
17/07/2006 19:27 <REP> Talkback
17/07/2006 19:27 <REP> Mozilla
17/07/2006 16:46 <REP> Sun
17/06/2006 15:23 <REP> Google
21/05/2006 14:10 <REP> vlc
20/02/2006 20:53 <REP> teamspeak2
20/02/2006 17:20 <REP> InterVideo
29/01/2006 12:17 <REP> MSN6
22/01/2006 15:16 <REP> Nvu
02/01/2006 22:54 <REP> Free Download Manager
10/12/2005 21:40 <REP> Media Player Classic
04/12/2005 20:22 <REP> Roxio
19/11/2005 03:09 <REP> Help
19/11/2005 01:12 <REP> Ahead
12/11/2005 11:21 <REP> Template
05/11/2005 16:31 <REP> AdobeUM
02/11/2005 01:26 <REP> Adobe
02/11/2005 01:00 <REP> Real
02/11/2005 00:13 <REP> Lavasoft
01/11/2005 22:18 <REP> Identities
01/11/2005 22:18 62 desktop.ini
01/11/2005 22:18 <REP> Microsoft
01/11/2005 22:18 <REP> .
01/11/2005 22:18 <REP> ..
1 fichier(s) 62 octets
25 R‚p(s) 791646208 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8

R‚pertoire de C:\WINDOWS\Tasks

01/11/2005 22:10 6 SA.DAT
01/11/2005 22:07 65 desktop.ini
01/11/2005 22:07 <REP> ..
01/11/2005 22:07 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 791ÿ646ÿ208 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************




Pour ma part je ne trouve rien de bizarre sur le rapport:-(


Merci.

Effectivement. Rien.

Bien cachée la bête.

Fais un clic droit sur ce lien http://perso.numericable.fr/~altshift/Info/Fichiers/IA.... /
"enregistrer sous"
Mets le fichier sur le bureau, double-clique dessus
Ne tiens pas compte de ce qui sera écrit dans la fenetre noire

Un rapport va s'ouvrir au bout de quelques instants, dans un fichier texte : poste-le.

EDIT : Concernant les lignes trouvées par Regsearch, j'ai les mêmes.
Je crois que ce sont les adresses des sites dangereux bloqués par le navigateur.

Voici le rapport,
effectivement il y a une infection de la part de "magic control agent", que j'avais repéré avec spybot et spy sweeper.
Apparemment celui la revient au demarrage du pc.
Par contre je ne connais pas ces symptomes et je ne sais pas si il est responsable de ces pubs là.

Bizarre que la clé n'etait pas dans RegSearch? non?

Voici le rapport de "IA":

*** Répertoires ***

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8

R‚pertoire de C:\Program Files\Fichiers communs

17/07/2006 16:44 <REP> .
17/07/2006 16:44 <REP> ..
04/12/2005 20:04 <REP> Adaptec Shared
28/04/2006 15:54 <REP> Adobe
12/11/2005 10:45 <REP> Ahead
21/06/2006 18:36 <REP> DESIGNER
12/03/2006 19:35 <REP> DirectX
30/12/2005 22:59 <REP> InstallShield
17/07/2006 16:44 <REP> Java
21/06/2006 18:38 <REP> Microsoft Shared
01/11/2005 22:07 <REP> MSSoap
21/06/2006 18:35 <REP> ODBC
24/02/2006 00:24 <REP> Real
04/12/2005 20:05 <REP> Roxio Shared
01/11/2005 22:07 <REP> Services
01/11/2005 22:00 <REP> SpeechEngines
21/06/2006 18:36 <REP> System
24/02/2006 00:03 <REP> xing shared
0 fichier(s) 0 octets
18 R‚p(s) 779ÿ161ÿ600 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8

R‚pertoire de C:\Program Files

17/07/2006 19:27 <REP> .
17/07/2006 19:27 <REP> ..
23/03/2006 20:32 <REP> Adobe
02/04/2006 00:37 <REP> AvRack
01/11/2005 22:07 <REP> ComPlus Applications
04/12/2005 20:04 <REP> directx
17/07/2006 16:44 <REP> Fichiers communs
12/07/2006 11:58 <REP> Gaming Mouse
01/07/2006 20:26 <REP> Google
01/11/2005 23:56 <REP> Hewlett-Packard
01/11/2005 23:53 <REP> hp deskjet 845c series
04/01/2006 13:01 <REP> Internet Explorer
17/07/2006 16:45 <REP> Java
12/12/2005 22:04 <REP> Messenger
01/11/2005 22:10 <REP> microsoft frontpage
21/06/2006 18:36 <REP> Microsoft Office
21/06/2006 18:35 <REP> Microsoft.NET
01/11/2005 22:35 <REP> Movie Maker
18/07/2006 17:00 <REP> Mozilla Firefox
29/01/2006 12:19 <REP> MSN
01/11/2005 22:06 <REP> MSN Gaming Zone
30/06/2006 00:13 <REP> MSN Messenger
25/06/2006 11:34 <REP> NetMeeting
04/01/2006 13:01 <REP> Outlook Express
21/06/2006 16:01 <REP> Project64 1.6
02/04/2006 00:37 <REP> Realtek Sound Manager
01/11/2005 22:09 <REP> Services en ligne
05/11/2005 11:35 <REP> Sierra On-Line
01/04/2006 20:33 <REP> VIA
01/04/2006 20:56 <REP> VIA Technologies, Inc
01/04/2006 20:49 <REP> VIAudioi
06/04/2006 13:47 <REP> Windows Media Player
01/11/2005 22:06 <REP> Windows NT
01/11/2005 22:10 <REP> xerox
0 fichier(s) 0 octets
34 R‚p(s) 779ÿ161ÿ600 octets libres

*** Fichiers ***

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est FC60-6EB8

*** Registre ***




[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]


Magic Control

HKEY_USERS\S-1-5-21-1844237615-1078145449-682003330-1004\Software\LanConfig

*** Terminé ***



Merci.

up

 

Bonsoir

Je ne pense pas que cette ligne dans le regisstre explique ces pubs.

Au travail.

** Télécharge Qoologic Tool
http://www.lurkhere.com/%7Enicefiles/Find_Qoologic2.zip
Dézippe le dans son répertoire comme ceci
C:\Program Files\QoologicFinder
Double clique sur Find-Qoologic.bat
Poste le rapport.

** Télécharge RKFiles
http://skads.org/special/rkfiles.zip
Installe le dans C:\Program Files\RKTOOL

Redémarre en mode sans échec

Ouvre RKFiles
Double clique sur RKFiles.bat
Une fenêtre DOS s'ouvre.
Patiente jusqu'à sa fermeture.

Redémarre normalement
Colle le rapport de C:\Log.txt

** Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
Ouvre le Bloc-note et copie-colle les lignes en bleu ci-dessous

FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0BFU.exe[/b] (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Egd.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Egd.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.Folder

Poste le rapport situé ici
C:\egd.txt

Bonjour,

Tu dis que le "magic control agent" n'est pas responsable des pubs, est-ce-normal qu'après chaque scan de spybot, il soit présent (est-ce une clé du type "doubleclik, weborama, advertising....qui se creer de facon normal a chaque utilisation de IE ?)
En gros quels sont les sysmptomes du "magic control agent" et est-il dangereux?

Sinon a tu des pistes et lesquelles après ces scans?

Voici les rapports demandés:


-Le rapport Qoologic Tool :

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»»

(fstarts by IMM - test ver. 0.001) NOT using address check -- 0x77f65fae

Global Startup:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
.
..
desktop.ini
Lancement rapide d'Adobe Reader.lnk

User Startup:
C:\Documents and Settings\Réda et FZ\Menu Démarrer\Programmes\Démarrage
.
..
desktop.ini

»»»»»»»»»»»»»»»»»»»»»»»» Registry Entries Found »»»»»»»»»»»»»»»»»»»»»»»

! REG.EXE VERSION 3.0

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\avast
<SANS NOM> REG_SZ {472083B0-C522-11CF-8763-00608CC02F24}

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
<SANS NOM> REG_SZ {85BBD920-42A0-1069-A2E4-08002B30309D}

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido anti-spyware
<SANS NOM> REG_SZ {8934FCEF-F5B8-468f-951F-78A921CD3920}

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
<SANS NOM> REG_SZ {750fdf0e-2a26-11d1-a3ea-080036587f03}

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
<SANS NOM> REG_SZ {09799AFB-AD67-11d1-ABCD-00C04FC30936}

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
<SANS NOM> REG_SZ {A470F8CF-A1E8-4f65-8335-227475AA5C46}

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Trojan Remover
<SANS NOM> REG_SZ {52B87208-9CCF-42C9-B88E-069281105805}

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
<SANS NOM> REG_SZ {B41DB860-8EE4-11D2-9906-E49FADC173CA}

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
<SANS NOM> REG_SZ Épingle du menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»»» Active setup »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

"Find activesetup", version1, launched at: 23:32
Operating System: Windows XP


HKLM\Software\Microsoft\Active Setup\Installed Components\
">{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\(Default)" = "Lecteur Windows Media"
\StubPath = "C:\WINDOWS\inf\unregmp2.exe /ShowWMP" [MS]
"{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default)" = ""
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]
"{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}\(Default)" = "Microsoft FrontPage Express"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fpxpress.inf,PerUserRemove" [MS]









-Le rapport "RKFiles" :


C:\Program Files\RKTOOL

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\asw30.tmp: UPX!t$
C:\WINDOWS\system32\aswBoot.exe: UPX!t$
C:\WINDOWS\system32\dvdaudio.ax: UPX!
C:\WINDOWS\system32\FraunhoferAudio.ax: UPX!
C:\WINDOWS\system32\FraunhoferVideo.ax: UPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\divx.dll: PEC2
C:\WINDOWS\system32\fjlctyg.exe: PEC2
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
PEC2
PEC2

Files Found in all users startup Folder............
------------------------
UPX!t$
UPX!t$
UPX!
UPX!
UPX!
Files Found in all users windows Folder............
------------------------
Finished
bye






-Le rapport de "BFU" :



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTVOICE"="pctspk.exe"
"nwiz"="nwiz.exe /install"
"KeyMaestro"="C:\\KMaestro\\KMaestro.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb03.exe"
"avast!"="D:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"KernelFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,\
00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,6b,\
00,00,00
"QuickTime Task"="\"D:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"mouseElf"="C:\\PROGRA~1\\GAMING~1\\MouseElf.EXE"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_07\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyMaestro]
"RepeatFlag"=dword:00000000
"PowerEnable"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"



Voila voila, merci et bon courage!

bonjour
le problème est bien magic control agent
télécharge

F-Secure Blacklight
https://europe.f-secure.com/blacklight/try.shtml

Clic= I accept
Clic = Download
Enregister sur le bureau
Double-clic blbeta.exe
Scan

un log sur le bureau nommé fsbl.xxxx ( xxxx = chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

Bonjour,

J'ai deja utilisé blacklight auparavant, mais je ne reussi pas à le supprimer, peut etre que tu y arriveras...j'espere...

Il y a un process inconnu qui se lance au demarrage nommé "fjlctyg.exe"

Voici le rapport:

07/20/06 12:40:45 [Info]: BlackLight Engine 1.0.42 initialized
07/20/06 12:40:45 [Info]: OS: 5.1 build 2600 (Service Pack 1)
07/20/06 12:40:47 [Note]: 7019 4
07/20/06 12:40:47 [Note]: 7005 0
07/20/06 12:40:52 [Note]: 7006 0
07/20/06 12:40:52 [Note]: 7011 1300
07/20/06 12:40:53 [Note]: 7026 0
07/20/06 12:40:54 [Note]: 7026 0
07/20/06 12:40:54 [Note]: 7024 3
07/20/06 12:40:54 [Info]: Hidden process: C:\windows\system32\fjlctyg.exe
07/20/06 12:40:54 [Note]: FSRAW library version 1.7.1019
07/20/06 12:43:03 [Info]: Hidden file: c:\WINDOWS\system32\fjlctyg.dat
07/20/06 12:43:03 [Note]: 10002 1
07/20/06 12:43:03 [Info]: Hidden file: C:\windows\system32\fjlctyg.exe
07/20/06 12:43:03 [Note]: 10002 1
07/20/06 12:43:04 [Info]: Hidden file: c:\WINDOWS\system32\fjlctyg_nav.dat
07/20/06 12:43:04 [Note]: 10002 1
07/20/06 12:43:04 [Info]: Hidden file: c:\WINDOWS\system32\fjlctyg_navps.dat
07/20/06 12:43:04 [Note]: 10002 1
07/20/06 12:44:08 [Info]: Hidden file: c:\WINDOWS\Prefetch\FJLCTYG.EXE-2B3BCDC9.pf
07/20/06 12:44:08 [Note]: 10002 1
07/20/06 12:46:20 [Note]: 7007 0



Merci.

relancer Blacklight

Scan puis à la fin ==> Next==> remane
pour les fichiers

C:\windows\system32\fjlctyg.dat
C:\windows\system32\fjlctyg.exe
c:\WINDOWS\system32\fjlctyg_nav.dat
c:\WINDOWS\system32\fjlctyg_navps.dat
c:\WINDOWS\Prefetch\FJLCTYG.EXE-2B3BCDC9.pf


Clic ==> NEXT et laisser le PC redémarrer
-------------
Tous ont maintenant une extension en .ren
en ayant accés aux fichiers cachés
Démarrer =>Poste de travail =>Outils =>Options des dossiers =>Affichage
Cocher = Afficher les fichiers et dossiers cachés
Plus bas
Décocher =Masquer les extensions des fichiers dont le type est connu
Décocher =Masquer les fichiers protégés du système d'exploitation


éliminer manuellement
fjlctyg.dat.ren
fjlctyg.exe.ren
fjlctyg_nav.dat.ren
fjlctyg_navps.dat.ren

===> le tout dans C:\windows\system32\

FJLCTYG.EXE-2B3BCDC9.pf.ren ==>dans c:\WINDOWS\Prefetch
------------
éliminer la clé lanconfig , repérée par Spybot dans la base de registre

HKEY_USERS\S-1-5-21-1844237615-1078145449-682003330-1004\Software\LanConfig

si tu ne sais pas faire manuellement


nettoyer le registre avec easycleaner
http://www.01net.com/telecharger/windows/Utilitaire/reg...
-----------------
repasser Spybot
---------------
j'ai tout mis pour aider ce qui seront à leur tour victime de magic...ps les codes de magic varient

je sais que tu sais faire

Bien joué Mogadon, je m'étais pas trompé alors sur ce magic...

J'ai supprimé la clé du regedit manuellement auparavant mais elle revenait, cela venait donc du prefetch.
Tu es bien meilleur que moi à ce que je vois!!!
Je ne connaissais aucune information sur magic control agent.
Pour Blacklight, ce fut une bonne idée de renommer.

Sinon que voulais tu dire par:



J'avais aussi remarqué que les codes avaient changer, mais je n'avais aucune soluce efficace.


Merci à vous 2 de la part de moi et de l'utilisateur du pc.

Amicalement ;-)

re
Je voulais dire que j'ai mis toute la procédure détaillée, (alors que j'avais vu que tu avais déjà Blacklight) y compris la suppression de la clé par un nettoyeur
pour les lecteurs qui au contraire de toi ne savent pas forcément faire ...
a+