Analyse Hitjack This Pb spywars

Question

Bonjour j'ai quelques soucis sur mon pc deux logiciels : shopping wizard et search extender que je ne peu supprimer !!!Ensuite beaucoup de pop up venant de ''only the best''Et la page de démarrage que je ne peux changer !!!Je post le log de hitjack this si vous pouvez m'aiderLogfile of HijackThis v1.98.2Scan saved at 10:34:45, on 23/09/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Norton AntiVirus\SAVScan.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINDOWS\System32\RunDll32.exeC:\WINDOWS\system32\CmWatch.exeC:\Program Files\Synaptics\SynTP\SynTPLpr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\WINDOWS\AGRSMMSG.exeC:\Program Files\Cyberlink\PowerCinema\PCMService.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\system32\adddp32.exeC:\WINDOWS\System\SmWizard.exeC:\WINDOWS\hh.exe:wiaolC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Alban\Mes documents\Drivers + Logiciels\Anti espions pb pub pc\hitjack this\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aphsl.dll/sp.html#29836R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aphsl.dll/sp.html#29836R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\aphsl.dll/sp.html#29836R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aphsl.dll/sp.html#29836R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aphsl.dll/sp.html#29836R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aphsl.dll/sp.html#29836R3 - Default URLSearchHook is missingO2 - BHO: (no name) - {A3ADFA24-B6C7-2903-DCA0-B839562EC0DC} - C:\WINDOWS\crps.dllO2 - BHO: (no name) - {BD520615-A0FE-2B41-04CA-59FA6ED5EFA4} - C:\WINDOWS\system32\winvn32.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exeO4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exeO4 - HKLM\..\Run: [PCMService] "C:\Program Files\Cyberlink\PowerCinema\PCMService.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [adddp32.exe] C:\WINDOWS\system32\adddp32.exeO4 - HKLM\..\RunOnce: [netfr.exe] C:\WINDOWS\system32
etfr.exeO4 - HKLM\..\RunOnce: [wiaol] C:\WINDOWS\hh.exe:wiaolO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO17 - HKLM\System\CCS\Services\Tcpip\..\{12FB09FD-9090-4B94-AD1C-C8B18E8A5909}: NameServer = 172.30.80.44Merci bcp

Utilisateur anonyme · Answer

bonjour

va ici faire une analyse auto de ton log
fait une vérification sur les lignes incriminées dans Google
http://www.hijackthis.de/
fixe dans l'hijack
ferme-le
reboot ton ordi
vide ton cache internet + la corbeille + nettoyage de disque

télécharge spybot 1.3 et ad-aware se

http://telechargement.zebulon.fr/36-Ad-Aware-SE-Personal-edition-1.03.html
http://telechargement.zebulon.fr/79-Spybot---Search-&-Destroy.html

les tutos
* le tuto ad-aware : http://www.cestfacile.org/adaware6ut.htm
* le tuto spybot 1.3 : http://tomcoyote.com/SPYBOT/indexfr.php

vérrouille ta page avec l'hijack (tes lignes R1 son vérolées..)
vérrouille TOUT avec spybot (mode silencieux/blocage page de démarrage etc etc.....)

si tu veux un p'tit coup de main, n'hésite pas

:-) @+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

ferme internet explorer coche c lignes ensuite clike sur" fixed checked"C:\WINDOWS\system32\CmWatch.exe C:\WINDOWS\system32\adddp32.exe  C:\WINDOWS\hh.exe:wiaol   ( ja'i un doute au sujet de cette ligne si tu connais pas tu la fix)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aphsl.dll/sp.html#29836 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aphsl.dll/sp.html#29836 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\aphsl.dll/sp.html#29836 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aphsl.dll/sp.html#29836 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aphsl.dll/sp.html#29836 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aphsl.dll/sp.html#29836 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {A3ADFA24-B6C7-2903-DCA0-B839562EC0DC} - C:\WINDOWS\crps.dll O2 - BHO: (no name) - {BD520615-A0FE-2B41-04CA-59FA6ED5EFA4} - C:\WINDOWS\system32\winvn32.dll pour C o4 il est preferable de terminé leur tache dans le gestionaire (ctr/alt/supprime) avant de les fixéO4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe O4 - HKLM\..\Run: [adddp32.exe] C:\WINDOWS\system32\adddp32.exe O4 - HKLM\..\RunOnce: [netfr.exe] C:\WINDOWS\system32
etfr.exe O4 - HKLM\..\RunOnce: [wiaol] C:\WINDOWS\hh.exe:wiaol redemare en mode sans echec : 1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume) 2. desactive ta restaraution (si ta le xp ) comme ceci  :clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique3.  affiche les fichier cacher comme ceci : clicker sur demarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Puis fais «Ok» pour valider les changements. Decocher masquer les extentions dont le type est connues 4.ensuite va dans demarrer/rechercher et tape: aphsl.dllcrps.dll winvn32.dll netfr.exe ( si tu connais pas ce fichier supprime le)suprime les et tu vide ta corebeille ensuite ^passe un coup d'antispyware (adware, spybot...ect) si le probleme persiste refait un scan et colle le resultat ici @+++++++++++

Alex063 · Answer

Merci je vais faire le test dès ce soir en rentrant du travail et je vous tiens au courant !! Merci pour votre rapidité et les explications claires !!!!

Utilisateur anonyme · Answer

de rien ;-) alex. telecharge aussi la google tool bar http://toolbar.google.com/intl/fr/ tres efficace contre les pop upkikou dolly :-) ca va?@+++++++

Alex063 · Answer

coucou je viens de faire ce que Jess ma conseillé et le nouveau log donne ca : Logfile of HijackThis v1.98.2Scan saved at 16:10:37, on 23/09/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINDOWS\System32\RunDll32.exeC:\Program Files\Synaptics\SynTP\SynTPLpr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\WINDOWS\AGRSMMSG.exeC:\Program Files\Cyberlink\PowerCinema\PCMService.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\System\SmWizard.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\Documents and Settings\Alban\Mes documents\Drivers + Logiciels\Anti espions pb pub pc\hitjack this\HijackThis.exeC:\WINDOWS\System32\wuauclt.exeO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exeO4 - HKLM\..\Run: [PCMService] "C:\Program Files\Cyberlink\PowerCinema\PCMService.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO17 - HKLM\System\CCS\Services\Tcpip\..\{12FB09FD-9090-4B94-AD1C-C8B18E8A5909}: NameServer = 172.30.80.44et plus de logiciel bidon dans ajouts et supp de programmes pour le moment !!!pour la toolbar mici bcpmerci

Utilisateur anonyme · Answer

salut ton nouveau log est propre :-)
cependant les spy risque de revenir c'est pour ca qu'il faut blindé ton pc en telechargant les antispywares (adware , spybot...ect) comme indiqué par dolly.dagger utilise aussi les option avancé de spybot pour verouiller ta page d'aceuille voici le tutorial http://assiste.free.fr/p/frameset/07_spybot_search_destroy.php
vide regulierement la cache d'internet explorer comme ceci :

Demarrer/paneau de configuration/option internet/suprimer fichier temporaaire apres une petite fentre s'ouvre tu coche "suprimer tout le contenu hors connexion" suprime aussi les cookies et efface l'historique

ou sinon il existe un autre moyen pour te debarasser de ce genre de probleme (pop up intempsif, page d'aceuille squatter..ect) c'est de passé a Mozilla c'est un exelent navigateur ;-) http://frenchmozilla.sourceforge.net/install/#windows

@+++++++

Alex063 · Answer

Merci bcp Jess15
Mais nivo ad aware je l'ai et je le fais souvent pour spy boot ben je les installé apres avoir eu mon pb et a chaque fois queje le lancais il plantais !!!
Peu etre que maintenant tout est réparer !!
C'est important de fixer la page d'accueil ?
Merci encore

Utilisateur anonyme · Answer

salut oui c tres important de verouiller ta page d'accueil pour que les spy ne puisse pas la modifier :-)@++++++++

Alex063 · Answer

Maintenant il me reste un pti pb suis infecter via mon readme.exe aïe !!!

Utilisateur anonyme · Answer

peu tu etre plus explicite stp :-)@+++++++++

Alex063 · Answer

tout est regler sauf que mon antivirus me décele un pb le fichier readme.exe serait infecté, il est mis en quarantaine et j'ai beau le supprimé de la quarantaine il réapparait apres une seconde analyse du pc. Son chemin d'origine se siru dans le répertoire infected de mon kaspersky !!

Un débutant · Answer

Coucou, je viens m'insinuer dans la discussion.
Sur le log de Alex063, il est marqué:
C:\WINDOWS\System32\wuauclt.exe
et son sytème d'exploitation est Windows XP avec le SP1. Or, wuauclt.exe est un processus pour la mise à jour de Windows Millenium ou aussi il peut cacher le trojan Troj/Cult-B:
http://www.commentcamarche.net/processus/wuauclt-exe.php3?imprim=1

N'y aurait-il pas un problème quelque part?

Alex063 · Answer

le fichier n'appartient pas a kaspersky je pense il est logé dans la quarantaine de mon antivirus mais il ne se vide pas et de plus je n'arrive pas a le supprimer manuelement peu etre dois je démarrer en mode sans échec et tenté la suppression ?

Utilisateur anonyme · Answer

bonjour,
sans vouloir t'affoller le fichier Readme.exe est associé à un virus
Google
http://www.google.fr/search?hl=fr&ie=UTF-8&q=Readme.exe&btnG=Recherche+Google&meta=cr%3DcountryFR

@+ :-)

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Alex063 · Answer

oui enfinje savais pas que c'était via google mais j'ai déja fais l'analyse pour rechercher le nimda a et e en téléchargeant les kit via ton lien et il ne me trouve rien sur mon pc !!

Alex063 · Answer

de plus je viens de m'apercevoir que j'ai un fichier .exe que je n'arrive pas a supprimer on me dit qu'il est utiliser ou partager alors que ce n'est pas le cas peu etre que cela est lié, je crois qu'il est possible de tuer ce fichier via spybot non ? si oui quel options faut-il prendre ?
Merci est désolé pour toutes ces questions lol mais o moins c'est toujour ca que je reposerai pas !!
Merci

Utilisateur anonyme · Answer

pourtant Kasper. l'a mis en quarantaine donc ...
essaye de passer en mode sans échec pour virer l'exe non?
désactive ta restauration système
mode sans échec et suppression de l'exe
reboot
nettoyage de disque (tu dis OK à tout - ça va virer le cache internet et les dates infectées (quoique le reboot sans la restau. syst. te donnera une dernière date saine déjà...)
vérif avec kasper
et ré-active la restauration système qd tout est clean

@+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Alex063 · Answer

je viens de faire une analyse avec spybot j'ai trouvé des ptits trucs que j'ai virer je relance une analyse antivirus et je vous tiens o jus

Alex063 · Answer

le virus reste présent encore apres une analyse ! devrais je tuer ce readme.exe tout comme le second .exe (qui me chagrine en me disant qu'il est ituliser et que je ne peux le supprimer) avec spybot ? si oui pourriez vous me donner l'option à utliser svp
merci bcp

Alex063 · Answer

Kaspersky m'annonce une infection de readme.exe par backdoor.Gobot.t j'ai utiliser l'option Effaceur de sécurité dans spybot mais le fichier reste toujours

Utilisateur anonyme · Answer

Kaspersky ne l'a pas viré?? tu avais désactivé ta restauration système - +  le scan + rebooterton ordi  +  nettoyage disque ou du cache et de la corbeille?en mode sans échec, c'est impossible que tu n'arrives pas à virer cette exeet pourC:\WINDOWS\System32\wuauclt.exe <--effectivement c'est l'update M$ pour ME mais aussi pour XP, xxxMicrosoft AutoUpdate for Windows ME/2000/XP. Wuauclt.exe : Whenever you connect to the Internet, WUAUCLT checks the Microsoft website for updates to Windows Millennium Edition.Recommendation :We recommend against having any sort of AutoUpdate feature turned ON for operating systems. If your system works, do not fix it unless there is a major security update released by Microsoft as a result of a virus outbreak, in which case do a manual Windows Update (if you do not have a Windows Update icon, simply go to http://www.windowsupdate.com to do a Windows Update). Updates should be manually controlled as the downside, if something goes wrong, is potentially an unusable PC – we recommend doing a manual Windows Update once every two months or when there is a major new virus; this statistically lessens the chance of you picking up a Windows Update that causes problem as, in most cases, you will be picking up the update a few days after it has been released when Microsoft will have had the chance to correct what may have been a disastrous first release of the update. Always backup your critical data (documents, emails, etc..) before doing a Windows Update. To turn OFF Automatic Windows Updating, do as follows :Windows ME : “Start \ Settings \ Control Panel \ Automatic Updates \ Turn OFF automatic updating”. Then reboot your PC.Windows 2000 : “Start \ Settings \ Control Panel \ Automatic Updates”. Uncheck “Keep my computer up to date”.Windows XP : “Start \ Settings \ Control Panel” or “Start \ Control Panel” depending on how you have XP configured. Then, double-click the SYSTEM icon. Next, choose the Automatic Updates tab and uncheck “Keep my computer up to date”.c'est un peu long et en anglais mais en gros cette exe apparait à la mise à jour automatique chez Crosoft ou avec l'icône M$ de mise à jour automatique - à ta place je laisserais tomber ce n'est rien de suspect - bcp font l'erreur, cette exe a fait couler bcp d'encre.....et ça continue lollll*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

va voir sur PestPatrol http://www.pestpatrol.com/pestinfo/b/backdoor_gobot_t.aspscan on-line (- je crois que le scan/free ne désinfecte pas - mais la description est bien détaillée pour une suppression manuelle)http://www.pestscan.com/Scan.aspSophos : W32/Gobot-B/alias : Backdoor.Gobot.t (idem suppression manuelle bien détaillée)http://www.sophos.com/virusinfo/analyses/w32gobotb.html*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

coucou dolly :-)))coucou alexfaut le supprimé en mode sans echec comme ceci 1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume) 2. desactive ta restaraution (si ta le xp ) comme ceci  :clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique3.ensuite supprime le fichier  readme.exe @+++++++++

Utilisateur anonyme · Answer

coucou!  Jess :-]]]il veut pas en mode sans échec! déjà suggeré  au post <18> lolll :-]] ça va durer..... ché chûr cha....*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Alex063 · Answer

Sophos : W32/Gobot-B/alias : Backdoor.Gobot.t (idem suppression manuelle bien détaillée) http://www.sophos.com/virusinfo/analyses/w32gobotb.html Ca je viens de faire ca donne rien j'ai changer dans le regedit et toujours la.la restauration systeme a toujours été désactivé sur mon pcje tente de le supprimer en mod sans échec et je re

Utilisateur anonyme · Answer

reeee dolly j'ai du raté des episodes lol bon essay de le supprimer avec the kill box telecharge the kill box http://download.broadbandmedic.com/    Pose-le sur ton bureau. Lance-le.  Dans "full path of the file.." ->copie/colle:   (le chemin du fichier) clike delete the file @+++++++++++

Alex063 · Answer

le pb c ke je trouvais pas le .exe en mode sans échec comme un con fallait afficher les fichiers lol ca garde pas les propriété du mode normal, et la le scan du pc na rien encore trouver !!! Alors une seule chose MERCI a vous TOUS !!  Venez dans le 63 et restos !!!! Merci

Analyse Hitjack This Pb spywars

27 réponses

Votre réponse

Discussions similaires

Newsletters