ligne 020 Hijackthis (Résolu)

vous cherchiez votre premier problème à régler, je vous en soumet un.

une ligne 020 Hijackthis

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll

qui revient constamment même après suppression.

Tous les scans ont été effectués et les instrus réglés.

Selon ce que j'ai pu lire, il s'agirait d'un virus

Ouais, vous nous mettez à rude épreuve :D !

C'est caractéristique de cette peste de "CoolWebSearch" et plus particulièrement d'une infection avec "LookTo Me".

LookToMe Remover (Anglais)

Selon ce que j'ai pu trouver sur le site de lecture de log HijackThis, cela serait:
Trojan-Proxy.Win32.Xorpix variant

Bien vu Skeet, http://www.castlecops.com/O20.html

Il s'agit de taper partnership.dll dans cette fenêtre pour voir de quoi il en retourne.

Edit: Certains ont réglé le problème avec "Look2me remover" et d'autres avec "SmitFraudFix".

Cette ligne n'est pas, en général, la seule en cause et un log complet permettrait de mieux évaluer. En plus la connaissance des symptômes des problèmes de fonctionnement, aiderait grandement.

il n'y a rien de particulier dansle log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\qttask.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\famille\My Documents\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.radio-canada.ca/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: LD -> PapaTool 1 - Link Tool - C:\WINDOWS\Web\LD_PapaTool_1.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\RunApp.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cette dll, j,ai même essayé de l,enlever manuellement mais ce n,est pas possible. Possiblement un restant d'infection réglée.

Il y avait une possibilité que je n,ai pas os. exploiter.
dans hijackthis, 'open the misc tool section" open priocess manager,
en cliquant sur 'show dll' et en cliquant sur C\windows\system32\Winlogon.exe, elle aparait dans la liste. Il faudrait que je 'kill process"

enfin, ce n'est pas dramatique car tous les scan ne montrent rien.
C'est juste que je voulais vous soner quelque chose sur quoi travailler.

Bonjour dannyboy.

J'en déduis que c'est votre propre log compte-tenu de la présence du PapaTool. Étrange toutefois, car cette ligne O20 est clairement répertoriée comme malsaine.

Avez-vous essayé de cocher cette ligne suite à un "scan" avec "HijackThis", fermer les applications, cliquer sur "Fix checked", re-démarrer immédiatement en mode sans échec et essayer de supprimer la dll ?

oui.
disons que c'est temps-ci mes fils me font surveiller étroitement mon ordi .

pas bien grave, à temps perdu, je vais essayer de régler ça

Ok. SVP, tenez-nous au courant si vous réussissez à vous débarrasser de cette ligne.

J,ai finalement réussi à m,en débarasser.

Il était littéralement impossible même manuellement de le supprimer.

J'y suis parvenu grâce à l'utilitaire "Killbox"

J'ai fait dans un premier temps un copier du chemin en question
de cette ligne 020

après avoir ouvert Killbox,

- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Copie dans la fenêtre
C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\partnership.dll

- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.

On refait un scan Hijackthis. la ligne 020 réapparait mais avec (file missing) au bout.
On la sélectionne et on fait "fix checked"

et voilà.

Merci de nous avoir donné la solution, ça pourra venir en aide à d'autres utilisateurs...
Bonne fin de journée

Merci pour ce "feedback" dannyboy :D !