Analyse du log de hijack svp
tropique
Messages postés
6
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour à tous !
Je viens de m'inscrire sur ce site où je me permets de solliciter de l'aide. Je fréquente depuis quinze jours les diverses questions/réponses ayant trait à la suppression de certaines barres de recherche intempestives dans internet explorer. J'ai déjà beaucoup appris et j'ai essayé de me débrouiller seul mais en vain...voilà ce qui m'amène : depuis un mois environ, ad-watch bloque certains processus qui tentent de modifier ma base de registre : voilà un extrait du log de ad-watch :
Archive d'événement Ad-Watch, exportée vers 17/09/2004
Total d'événements:45
===============================================
17/09/2004 18:58:32 - Modification de le Base de Registre détectée
Racine:HKEY_CURRENT_USER
Clé:Software\Microsoft\Internet Explorer\Main
Valeur:Search Bar
Donnée:https://www.bing.com/?cc=fr&toHttps=1&redig=DF8E70B086FA4C6D967EA8DD52400167
Nouvelle Donnée:
Tentative possible de piratage du navigateur (Bloqué)
===============================================
17/09/2004 18:58:33 - Modification de le Base de Registre détectée
Racine:HKEY_CURRENT_USER
Clé:Software\Microsoft\Internet Explorer\Search
Valeur:SearchAssistant
Donnée:http://realsearch.ws/122/?sp
Nouvelle Donnée:
Tentative possible de piratage du navigateur (Bloqué)
===============================================
17/09/2004 18:58:33 - Modification de le Base de Registre détectée
Racine:HKEY_LOCAL_MACHINE
Clé:Software\Microsoft\Internet Explorer\Main
Valeur:Search Bar
Donnée:
Nouvelle Donnée:
Tentative possible de piratage du navigateur (Bloqué)
===============================================
Ces 3 processus reviennent de façon incessante.
J'ai tout d'abord tenter plusieurs "nettoyeurs" : adaware, spybot, pestpatrol et noadware mais aucun n'a su virer la bébête.
J'ai donc essayé de fixer (de façon intuitive) avec hijack (et regcleaner) tous les processus qui me semblent s'y rapporter : realsearch et mwsoemon en particulier, mais ceux ci se régénèrent aussitôt. Aussi je demande à une âme compétente et charitable de bien vouloir examiner le log de hijack ci-dessous et de m'expliquer une marche à suivre...Je vous en remercie d'avance.
Logfile of HijackThis v1.98.2
Scan saved at 18:48:58, on 17/09/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\souris\Amoumain.exe
C:\BITWARE\NT\bwprnmon.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\TYPSOF~1\ftpserv.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Antipub\antipub.exe
F:\programmes\emule\emule.exe
C:\Program Files\No-IP\DUC20.exe
F:\programmes\Copie de outclock\outclock\OutClock.exe
C:\WINDOWS\webshots.scr
F:\programmes\soulseek\slsk.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
F:\programmes\unzipped\hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=945DD73432674AF1AE323257B451EFD7
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.ws/122/?sp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://realsearch.ws/122/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://realsearch.ws/122/?sp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://realsearch.ws/122/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://realsearch.ws/122/?sp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.myhandysearch.com/s.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freetelecom.fr/consom/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 66.55.134.199 sitefinder-idn.verisign.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~2\spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7664F795-82D2-3E7C-9A0D-A60DE46E2AC6} - C:\PROGRA~1\SOFTSE~1\book hope.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VideoCAM Web V2
O4 - HKLM\..\Run: [ <TITLE>Error</TI] c:\WINDOWS\System32\ <TITLE>Error</TITLE>
O4 - HKLM\..\Run: [The site you have requested doesn't ex] c:\WINDOWS\System32\The site you have requested doesn't exist.
O4 - HKLM\..\Run: [The associated domain name has probably been reserved by a client ] c:\WINDOWS\System32\The associated domain name has probably been reserved by a client from
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [FTP Server] C:\TYPSOF~1\ftpserv.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [<A HREF] "https://www.gandi.net/en">GANDI</A> then par=c:\WINDOWS\System32\<A HREF="https://www.gandi.net/en">GANDI</A> then parked.
O4 - HKCU\..\Run: [UninstallAbility] "C:\Program Files\UninstallAbility\uability.exe" /AUTO
O4 - HKCU\..\Run: [ <TITLE>Error</TI] c:\WINDOWS\System32\ <TITLE>Error</TITLE>
O4 - HKCU\..\Run: [The site you have requested doesn't ex] c:\WINDOWS\System32\The site you have requested doesn't exist.
O4 - HKCU\..\Run: [The associated domain name has probably been reserved by a client ] c:\WINDOWS\System32\The associated domain name has probably been reserved by a client from
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [] c:\WINDOWS\System32\
O4 - HKCU\..\Run: [<A HREF] "https://www.gandi.net/en">GANDI</A> then par=c:\WINDOWS\System32\<A HREF="https://www.gandi.net/en">GANDI</A> then parked.
O4 - HKCU\..\Run: [<H] c:\WINDOWS\System32\<HEAD>
O4 - HKCU\..\Run: [</H] c:\WINDOWS\System32\</HTML>
O4 - HKCU\..\Run: [<B] c:\WINDOWS\System32\<BODY>
O4 - HKCU\..\Run: [</B] c:\WINDOWS\System32\</BODY>
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\2.bin\mwsoemon.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: emule.lnk = F:\programmes\emule\emule.exe
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Startup: OutClock.lnk = F:\programmes\Copie de outclock\outclock\OutClock.exe
O4 - Startup: slsk.exe.lnk = C:\Program Files\Soulseek\slsk.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Virtual Creatures\Webshots\Launcher.exe
O4 - Global Startup: FlashFXP.lnk = C:\Program Files\FlashFXP\FlashFXP.exe
O4 - Global Startup: TYPSoft FTP Server.lnk = C:\TYPSoft FTP Server\ftpserv.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://ww17.akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_FR_XP.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://ww17.akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://ww17.akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06b28239f525f31cfc14/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093464660108
O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.mindavenue.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
Voilà, j'ai essayé d'être clair et précis...merci pour votre aide !
Je viens de m'inscrire sur ce site où je me permets de solliciter de l'aide. Je fréquente depuis quinze jours les diverses questions/réponses ayant trait à la suppression de certaines barres de recherche intempestives dans internet explorer. J'ai déjà beaucoup appris et j'ai essayé de me débrouiller seul mais en vain...voilà ce qui m'amène : depuis un mois environ, ad-watch bloque certains processus qui tentent de modifier ma base de registre : voilà un extrait du log de ad-watch :
Archive d'événement Ad-Watch, exportée vers 17/09/2004
Total d'événements:45
===============================================
17/09/2004 18:58:32 - Modification de le Base de Registre détectée
Racine:HKEY_CURRENT_USER
Clé:Software\Microsoft\Internet Explorer\Main
Valeur:Search Bar
Donnée:https://www.bing.com/?cc=fr&toHttps=1&redig=DF8E70B086FA4C6D967EA8DD52400167
Nouvelle Donnée:
Tentative possible de piratage du navigateur (Bloqué)
===============================================
17/09/2004 18:58:33 - Modification de le Base de Registre détectée
Racine:HKEY_CURRENT_USER
Clé:Software\Microsoft\Internet Explorer\Search
Valeur:SearchAssistant
Donnée:http://realsearch.ws/122/?sp
Nouvelle Donnée:
Tentative possible de piratage du navigateur (Bloqué)
===============================================
17/09/2004 18:58:33 - Modification de le Base de Registre détectée
Racine:HKEY_LOCAL_MACHINE
Clé:Software\Microsoft\Internet Explorer\Main
Valeur:Search Bar
Donnée:
Nouvelle Donnée:
Tentative possible de piratage du navigateur (Bloqué)
===============================================
Ces 3 processus reviennent de façon incessante.
J'ai tout d'abord tenter plusieurs "nettoyeurs" : adaware, spybot, pestpatrol et noadware mais aucun n'a su virer la bébête.
J'ai donc essayé de fixer (de façon intuitive) avec hijack (et regcleaner) tous les processus qui me semblent s'y rapporter : realsearch et mwsoemon en particulier, mais ceux ci se régénèrent aussitôt. Aussi je demande à une âme compétente et charitable de bien vouloir examiner le log de hijack ci-dessous et de m'expliquer une marche à suivre...Je vous en remercie d'avance.
Logfile of HijackThis v1.98.2
Scan saved at 18:48:58, on 17/09/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\souris\Amoumain.exe
C:\BITWARE\NT\bwprnmon.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\TYPSOF~1\ftpserv.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Antipub\antipub.exe
F:\programmes\emule\emule.exe
C:\Program Files\No-IP\DUC20.exe
F:\programmes\Copie de outclock\outclock\OutClock.exe
C:\WINDOWS\webshots.scr
F:\programmes\soulseek\slsk.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
F:\programmes\unzipped\hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=945DD73432674AF1AE323257B451EFD7
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.ws/122/?sp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://realsearch.ws/122/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://realsearch.ws/122/?sp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://realsearch.ws/122/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://realsearch.ws/122/?sp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.myhandysearch.com/s.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freetelecom.fr/consom/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 66.55.134.199 sitefinder-idn.verisign.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~2\spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7664F795-82D2-3E7C-9A0D-A60DE46E2AC6} - C:\PROGRA~1\SOFTSE~1\book hope.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VideoCAM Web V2
O4 - HKLM\..\Run: [ <TITLE>Error</TI] c:\WINDOWS\System32\ <TITLE>Error</TITLE>
O4 - HKLM\..\Run: [The site you have requested doesn't ex] c:\WINDOWS\System32\The site you have requested doesn't exist.
O4 - HKLM\..\Run: [The associated domain name has probably been reserved by a client ] c:\WINDOWS\System32\The associated domain name has probably been reserved by a client from
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [FTP Server] C:\TYPSOF~1\ftpserv.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [<A HREF] "https://www.gandi.net/en">GANDI</A> then par=c:\WINDOWS\System32\<A HREF="https://www.gandi.net/en">GANDI</A> then parked.
O4 - HKCU\..\Run: [UninstallAbility] "C:\Program Files\UninstallAbility\uability.exe" /AUTO
O4 - HKCU\..\Run: [ <TITLE>Error</TI] c:\WINDOWS\System32\ <TITLE>Error</TITLE>
O4 - HKCU\..\Run: [The site you have requested doesn't ex] c:\WINDOWS\System32\The site you have requested doesn't exist.
O4 - HKCU\..\Run: [The associated domain name has probably been reserved by a client ] c:\WINDOWS\System32\The associated domain name has probably been reserved by a client from
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [] c:\WINDOWS\System32\
O4 - HKCU\..\Run: [<A HREF] "https://www.gandi.net/en">GANDI</A> then par=c:\WINDOWS\System32\<A HREF="https://www.gandi.net/en">GANDI</A> then parked.
O4 - HKCU\..\Run: [<H] c:\WINDOWS\System32\<HEAD>
O4 - HKCU\..\Run: [</H] c:\WINDOWS\System32\</HTML>
O4 - HKCU\..\Run: [<B] c:\WINDOWS\System32\<BODY>
O4 - HKCU\..\Run: [</B] c:\WINDOWS\System32\</BODY>
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\2.bin\mwsoemon.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: emule.lnk = F:\programmes\emule\emule.exe
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Startup: OutClock.lnk = F:\programmes\Copie de outclock\outclock\OutClock.exe
O4 - Startup: slsk.exe.lnk = C:\Program Files\Soulseek\slsk.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Virtual Creatures\Webshots\Launcher.exe
O4 - Global Startup: FlashFXP.lnk = C:\Program Files\FlashFXP\FlashFXP.exe
O4 - Global Startup: TYPSoft FTP Server.lnk = C:\TYPSoft FTP Server\ftpserv.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://ww17.akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_FR_XP.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://ww17.akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://ww17.akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06b28239f525f31cfc14/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093464660108
O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.mindavenue.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
Voilà, j'ai essayé d'être clair et précis...merci pour votre aide !
A voir également:
- Analyse du log de hijack svp
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Échec de l'analyse antivirus. ✓ - Forum Antivirus
- Nouveau tag analysé - Forum Huawei
7 réponses
salut telecharge c antispywares
(spy bot)
http://spybot.dalnet.com.fr/spybotsd13.exe
(adware)
http://www.ordi-netfr.org/tutorialadaware.html
(CWshredder)
http://www.soft32.com/download_19014.html
pour ce dernier faut absolument fermer tout les programe y compris internet explorer et donc hors connexion ensuite faire fix next next
(spy sweeper )
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11010914s,00.htm
telecharge cette antitrojan
http://www.emsisoft.net/fr/
pense a les mettre a jour avant de les lance
ensuite tu nous dit ce que ca donne
ensuite suprimez les fichier inutiles
demarrer/paneau de configuration/option internet/suprimer fichier temporaaire apres une petite fentre s'ouvre tu coche "suprimer tout le contenu hors connexion" suprime aussi les cookies et efface l'historique
redemare ...
@++++++++++
(spy bot)
http://spybot.dalnet.com.fr/spybotsd13.exe
(adware)
http://www.ordi-netfr.org/tutorialadaware.html
(CWshredder)
http://www.soft32.com/download_19014.html
pour ce dernier faut absolument fermer tout les programe y compris internet explorer et donc hors connexion ensuite faire fix next next
(spy sweeper )
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11010914s,00.htm
telecharge cette antitrojan
http://www.emsisoft.net/fr/
pense a les mettre a jour avant de les lance
ensuite tu nous dit ce que ca donne
ensuite suprimez les fichier inutiles
demarrer/paneau de configuration/option internet/suprimer fichier temporaaire apres une petite fentre s'ouvre tu coche "suprimer tout le contenu hors connexion" suprime aussi les cookies et efface l'historique
redemare ...
@++++++++++
tout le monde :-)
Tropique : ici tu peux faire analyser ton log (par copié/collé) automatiquement, les lignes qui seront indiquées par une icône jaune sont à fixer dans 99% des cas (une petite vérif de l'exe ou de la ligne copié sur Google t'aidera pour approfondir)
www.hijackthis.de
fait tes fix dans l'hijack (mode sans échec préconisé) reboote ton ordi - vide le cache internet + la corbeille
ça fera un 1er ménage, tu peux ensuite refaire un log hijack pour voir où tu en es des intrusions et le reposer ici
C:\BITWARE\NT\bwprnmon.exe <--ce truc m'interpelle particulièrement... (ça me dit qq chose mais??) ... je regarde si je trouve des infos
JESS :-) ça te dit rien ce programme?
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Tropique : ici tu peux faire analyser ton log (par copié/collé) automatiquement, les lignes qui seront indiquées par une icône jaune sont à fixer dans 99% des cas (une petite vérif de l'exe ou de la ligne copié sur Google t'aidera pour approfondir)
www.hijackthis.de
fait tes fix dans l'hijack (mode sans échec préconisé) reboote ton ordi - vide le cache internet + la corbeille
ça fera un 1er ménage, tu peux ensuite refaire un log hijack pour voir où tu en es des intrusions et le reposer ici
C:\BITWARE\NT\bwprnmon.exe <--ce truc m'interpelle particulièrement... (ça me dit qq chose mais??) ... je regarde si je trouve des infos
JESS :-) ça te dit rien ce programme?
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Merci moulte les aminches...je suis épaté par votre vitesse de réaction...je fais tout ça dès demain et je vous tiens au courant..merci encore
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut à tous.....
J'ai procédé comme vous me l'avez indiqué : kolossal nettoyage avec spy bot, ad aware...fix avec hijack des lignes signalées en jaune dans l'analyse de darkcrystal33..puis ménage des fichiers internet tout cela en mode sans echec...mais....hélas sans effet car adwatch signale les mêmes tentatives de piratages de ma bas de registre et les lignes néfastes dans hijack sont revenues...ouh les vilaines....que faire ?
Les lignes realsearch me parraissent être les troubles-fête mais elles reviennent systématiquement...merci pour vos bons conseils..on les aura !
ci-joint le log de hijack après le grand ménage......
merci d'avance
Logfile of HijackThis v1.98.2
Scan saved at 17:51:18, on 19/09/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\souris\Amoumain.exe
C:\Program Files\QuickTime\qttask.exe
C:\TYPSOF~1\ftpserv.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp\winampa.exe
C:\BITWARE\NT\bwprnmon.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ntvdm.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Antipub\antipub.exe
F:\programmes\emule\emule.exe
C:\Program Files\No-IP\DUC20.exe
F:\programmes\Copie de outclock\outclock\OutClock.exe
C:\WINDOWS\webshots.scr
F:\programmes\hp photo et imaging\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wuauclt.exe
F:\programmes\soulseek\slsk.exe
F:\programmes\unzipped\hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=945DD73432674AF1AE323257B451EFD7
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.ws/122/?sp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://realsearch.ws/122/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://realsearch.ws/122/?sp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://realsearch.ws/122/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://realsearch.ws/122/?sp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.myhandysearch.com/s.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freetelecom.fr/consom/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~2\spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7664F795-82D2-3E7C-9A0D-A60DE46E2AC6} - C:\PROGRA~1\SOFTSE~1\Camp Jump.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ <TITLE>Error</TI] c:\WINDOWS\System32\ <TITLE>Error</TITLE>
O4 - HKLM\..\Run: [The site you have requested doesn't ex] c:\WINDOWS\System32\The site you have requested doesn't exist.
O4 - HKLM\..\Run: [The associated domain name has probably been reserved by a client ] c:\WINDOWS\System32\The associated domain name has probably been reserved by a client from
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [FTP Server] C:\TYPSOF~1\ftpserv.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VideoCAM Web V2
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [<A HREF] "https://www.gandi.net/en">GANDI</A> then par=c:\WINDOWS\System32\<A HREF="https://www.gandi.net/en">GANDI</A> then parked.
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [UninstallAbility] "C:\Program Files\UninstallAbility\uability.exe" /AUTO
O4 - HKCU\..\Run: [ <TITLE>Error</TI] c:\WINDOWS\System32\ <TITLE>Error</TITLE>
O4 - HKCU\..\Run: [The site you have requested doesn't ex] c:\WINDOWS\System32\The site you have requested doesn't exist.
O4 - HKCU\..\Run: [The associated domain name has probably been reserved by a client ] c:\WINDOWS\System32\The associated domain name has probably been reserved by a client from
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [] c:\WINDOWS\System32\
O4 - HKCU\..\Run: [<A HREF] "https://www.gandi.net/en">GANDI</A> then par=c:\WINDOWS\System32\<A HREF="https://www.gandi.net/en">GANDI</A> then parked.
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [<H] c:\WINDOWS\System32\<HEAD>
O4 - HKCU\..\Run: [</H] c:\WINDOWS\System32\</HTML>
O4 - HKCU\..\Run: [<B] c:\WINDOWS\System32\<BODY>
O4 - HKCU\..\Run: [</B] c:\WINDOWS\System32\</BODY>
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: emule.lnk = F:\programmes\emule\emule.exe
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Startup: OutClock.lnk = F:\programmes\Copie de outclock\outclock\OutClock.exe
O4 - Startup: slsk.exe.lnk = C:\Program Files\Soulseek\slsk.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Virtual Creatures\Webshots\Launcher.exe
O4 - Global Startup: FlashFXP.lnk = C:\Program Files\FlashFXP\FlashFXP.exe
O4 - Global Startup: TYPSoft FTP Server.lnk = C:\TYPSoft FTP Server\ftpserv.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://ww17.akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_FR_XP.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://ww17.akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://ww17.akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06b28239f525f31cfc14/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093464660108
O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.mindavenue.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
J'ai procédé comme vous me l'avez indiqué : kolossal nettoyage avec spy bot, ad aware...fix avec hijack des lignes signalées en jaune dans l'analyse de darkcrystal33..puis ménage des fichiers internet tout cela en mode sans echec...mais....hélas sans effet car adwatch signale les mêmes tentatives de piratages de ma bas de registre et les lignes néfastes dans hijack sont revenues...ouh les vilaines....que faire ?
Les lignes realsearch me parraissent être les troubles-fête mais elles reviennent systématiquement...merci pour vos bons conseils..on les aura !
ci-joint le log de hijack après le grand ménage......
merci d'avance
Logfile of HijackThis v1.98.2
Scan saved at 17:51:18, on 19/09/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\souris\Amoumain.exe
C:\Program Files\QuickTime\qttask.exe
C:\TYPSOF~1\ftpserv.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp\winampa.exe
C:\BITWARE\NT\bwprnmon.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ntvdm.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Antipub\antipub.exe
F:\programmes\emule\emule.exe
C:\Program Files\No-IP\DUC20.exe
F:\programmes\Copie de outclock\outclock\OutClock.exe
C:\WINDOWS\webshots.scr
F:\programmes\hp photo et imaging\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wuauclt.exe
F:\programmes\soulseek\slsk.exe
F:\programmes\unzipped\hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=945DD73432674AF1AE323257B451EFD7
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.ws/122/?sp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://realsearch.ws/122/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://realsearch.ws/122/?sp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://realsearch.ws/122/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://realsearch.ws/122/?sp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.myhandysearch.com/s.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freetelecom.fr/consom/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~2\spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7664F795-82D2-3E7C-9A0D-A60DE46E2AC6} - C:\PROGRA~1\SOFTSE~1\Camp Jump.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ <TITLE>Error</TI] c:\WINDOWS\System32\ <TITLE>Error</TITLE>
O4 - HKLM\..\Run: [The site you have requested doesn't ex] c:\WINDOWS\System32\The site you have requested doesn't exist.
O4 - HKLM\..\Run: [The associated domain name has probably been reserved by a client ] c:\WINDOWS\System32\The associated domain name has probably been reserved by a client from
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [FTP Server] C:\TYPSOF~1\ftpserv.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VideoCAM Web V2
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [<A HREF] "https://www.gandi.net/en">GANDI</A> then par=c:\WINDOWS\System32\<A HREF="https://www.gandi.net/en">GANDI</A> then parked.
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [UninstallAbility] "C:\Program Files\UninstallAbility\uability.exe" /AUTO
O4 - HKCU\..\Run: [ <TITLE>Error</TI] c:\WINDOWS\System32\ <TITLE>Error</TITLE>
O4 - HKCU\..\Run: [The site you have requested doesn't ex] c:\WINDOWS\System32\The site you have requested doesn't exist.
O4 - HKCU\..\Run: [The associated domain name has probably been reserved by a client ] c:\WINDOWS\System32\The associated domain name has probably been reserved by a client from
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [] c:\WINDOWS\System32\
O4 - HKCU\..\Run: [<A HREF] "https://www.gandi.net/en">GANDI</A> then par=c:\WINDOWS\System32\<A HREF="https://www.gandi.net/en">GANDI</A> then parked.
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [<H] c:\WINDOWS\System32\<HEAD>
O4 - HKCU\..\Run: [</H] c:\WINDOWS\System32\</HTML>
O4 - HKCU\..\Run: [<B] c:\WINDOWS\System32\<BODY>
O4 - HKCU\..\Run: [</B] c:\WINDOWS\System32\</BODY>
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: emule.lnk = F:\programmes\emule\emule.exe
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Startup: OutClock.lnk = F:\programmes\Copie de outclock\outclock\OutClock.exe
O4 - Startup: slsk.exe.lnk = C:\Program Files\Soulseek\slsk.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Virtual Creatures\Webshots\Launcher.exe
O4 - Global Startup: FlashFXP.lnk = C:\Program Files\FlashFXP\FlashFXP.exe
O4 - Global Startup: TYPSoft FTP Server.lnk = C:\TYPSoft FTP Server\ftpserv.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://ww17.akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_FR_XP.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://ww17.akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://ww17.akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06b28239f525f31cfc14/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093464660108
O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.mindavenue.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
pour éviter de te faire infecter ==>
1) utilise firefox a la place d'internet explorer
http://www.mozilla-europe.org/fr/products/firefox/
2) vaccine ton pc avec spywareblaster
http://www.javacoolsoftware.com/
ps: Ad-watch fait son boulot comme dans le cas du module résident d'un antivirus, il te prévient et bloque les tentatives d'infection, ou est le problème?
1) utilise firefox a la place d'internet explorer
http://www.mozilla-europe.org/fr/products/firefox/
2) vaccine ton pc avec spywareblaster
http://www.javacoolsoftware.com/
ps: Ad-watch fait son boulot comme dans le cas du module résident d'un antivirus, il te prévient et bloque les tentatives d'infection, ou est le problème?
re-bonjour :-)
je viens de regarder le lien de dark - l'analyse s'arrêtait aussi à la 1ère ligne des 04?? s'en prendre en compte le reste du log?? (ou j'ai un bug d'affichage?) ce qui pourrait expliquer que la procédure est foirée..
@+ :-)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
je viens de regarder le lien de dark - l'analyse s'arrêtait aussi à la 1ère ligne des 04?? s'en prendre en compte le reste du log?? (ou j'ai un bug d'affichage?) ce qui pourrait expliquer que la procédure est foirée..
@+ :-)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
