mon log sur HijackThis Fermé

Question

pourriez vous me dépanner, vous seriez mon sauveur !!!!g testé avec : ad-aware,spybot, shredder, LspFix et mon anti virus est Norman ??merci d'avanceLogfile of HijackThis v1.98.2Scan saved at 08:20:09, on 06/10/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Ahead\InCD\InCDsrv.exeC:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\OpiStat\OpiStat\OpiStat.exeC:\NORMAN\Nvc\BIN\ZLH.EXEC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exeC:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exeC:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exeC:\Program Files\Ahead\InCD\InCD.exeC:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeC:\Program Files\SpyBlocker Software\spyblocker.exeC:\Program Files\Soft4Ever\looknstop\_looknstop.exeC:\WINDOWS\SYSTEM32\Mounter.exeC:\Program Files\ScanSoft\PaperPort\pptd40nt.exeC:\Program Files\Windows SyncroAd\SyncroAd.exeC:\Program Files\CursorXP\CursorXP.exeC:\Program Files\Chameleon Clock\ChamClock.exeC:\Documents and Settings\DORIFOR\Application Data\z??da.exeC:\Program Files\ABK\abk.exeC:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeC:\Program Files\Windows SyncroAd\WinSync.exec:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exeC:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exeC:\Norman\Nvc\BIN\Zanda.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\SLEE81.exeC:\WINDOWS\System32\svchost.exeC:\NORMAN\Nvc\BIN\NYMSE.EXEC:\NORMAN\Nvc\BIN\NIP.EXEC:\NORMAN\Nvc\BIN\NVCSCHED.EXEC:\NORMAN\Nvc\BIN
ipsvc.exeC:\NORMAN\Nvc\BIN\NJEEVES.EXEC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\DORIFOR\LOCALS~1\Temp\Rar$EX00.391\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Richfind - {C8B7CBCF-21B5-41C3-A97D-4EC9ECB420C4} - C:\WINDOWS\System32\Q351281.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: Richfind - {A1108F1F-0013-4172-B178-E10F4FB88901} - C:\WINDOWS\System32\Q351281.dllO2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dllO3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\PopUpCop\PopUpCop.dllO3 - Toolbar: Richfind - {FDBAFB67-FD81-40D7-B892-EF2050BF46D7} - C:\WINDOWS\System32\Q351281.dllO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exeO4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASHO4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe" -autorunO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exeO4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -autoO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exeO4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Program Files\ScanSoft\PDF Converter\RegistryController.exe"O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exeO4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeO4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exeO4 - HKLM\..\Run: [Mustek MDC 3000] C:\WINDOWS\SYSTEM32\Mounter.exeO4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /sO4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exeO4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exeO4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exeO4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exeO4 - HKCU\..\Run: [SSS6_Suite] "C:\Program Files\Steganos Security Suite 6\sss.exe" /bootingO4 - HKCU\..\Run: [SSS6_SAFE] "C:\Program Files\Steganos Security Suite 6\safe.exe" /bootingO4 - HKCU\..\Run: [SSS6_SPM] "C:\Program Files\Steganos Security Suite 6\spm.exe" /bootingO4 - HKCU\..\Run: [HomeAlarm] C:\Program Files\Chameleon Clock\ChamClock.exeO4 - HKCU\..\Run: [Ausa] C:\Documents and Settings\DORIFOR\Application Data\z??da.exeO4 - HKCU\..\Run: [ABK] C:\Program Files\ABK\abk.exe /qO4 - Startup: AddressBook.lnk = C:\Program Files\Micro Application\Carnet d'Adresses\CarnetAdressesMC.exeO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeO8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Open Image in New Window - res://C:\PROGRA~1\PopUpCop\popupcop.dll/imagenewO8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /300O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.htmlO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exeO9 - Extra button: Richfind - {FDBAFB67-FD81-40D7-B892-EF2050BF46D7} - C:\WINDOWS\System32\Q351281.dllO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO18 - Filter: text/html - {14A8D739-38C6-4BC8-8A6A-61AE3D256685} - C:\WINDOWS\System32\Q351281.dllO18 - Filter: text/plain - {14A8D739-38C6-4BC8-8A6A-61AE3D256685} - C:\WINDOWS\System32\Q351281.dll

veropat11 · Answer

J'ai exactement le même problème et en plus mapage d'accueil IE n'accepte plus google et m'affiche about blank.....Si quelqu'un à la solution....Merci

Utilisateur anonyme · Answer

bonjour dorifor :-)

fixe ces lignes

C:\Program Files\Windows SyncroAd\SyncroAd.exe
<--Spyware trojan
http://www.sysinfo.org/startuplist.php?submit=&filter=syncroad
C:\Documents and Settings\DORIFOR\Application Data\z??da.exe (vide ton cache internet aussi)
C:\Program Files\ABK\abk.exe <--?? indispensable ce truc? sinon vire-le
C:\Program Files\Windows SyncroAd\WinSync.exe
http://www.pestpatrol.com/pestinfo/e/evil_x_2_0.asp
C:\WINDOWS\System32\SLEE81.exe<--késako encore? (si tu connais - sinon tu fixes - pas net ce truc!)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/

R3 - URLSearchHook: Richfind - {C8B7CBCF-21B5-41C3-A97D-4EC9ECB420C4} - C:\WINDOWS\System32\Q351281.dll

O2 - BHO: Richfind - {A1108F1F-0013-4172-B178-E10F4FB88901} - C:\WINDOWS\System32\Q351281.dll

O3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)

les lignes 04 : 1) ctrl+alt+supp (pour arrêter les processus dans le gestionnaire des tâches) - 2) tu fixes dans l'hijack (suis bien la procédure!)
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [Ausa] C:\Documents and Settings\DORIFOR\Application Data\z??da.ex<--??
O4 - HKCU\..\Run: [ABK] C:\Program Files\ABK\abk.exe /q

O8 - Extra context menu item: Open Image in New Window - res://C:\PROGRA~1\PopUpCop\popupcop.dll/imagenew <-??

O9 - Extra button: Richfind - {FDBAFB67-FD81-40D7-B892-EF2050BF46D7} - C:\WINDOWS\System32\Q351281.dll

O18 - Filter: text/html - {14A8D739-38C6-4BC8-8A6A-61AE3D256685} - C:\WINDOWS\System32\Q351281.dll
O18 - Filter: text/plain - {14A8D739-38C6-4BC8-8A6A-61AE3D256685} - C:\WINDOWS\System32\Q351281.dll

*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./outils système/..)
---------- --------------- ------------------ ---------------- ------------------ ----
(pour les C:/exe)
désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
affiche les dossiers cachés
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

mode sans échec :
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5

passe en mode sans échec et supprime les exe en C:/
++vérifie sur les urlS que toutes les occurences sont bien supprimées

reboot - et réactive ta restauration système
qd ton ordi est clean

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

balltrap34 · Answer

salut
il faut que tu le fasse en mode sans echec
pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal
si f8 sa ne marche pas fait f5

la chasse et le balltrap ma vrai passion
voir site perso dans profil

dorifor · Answer

encore merci de ton amabilité, g essayé F5 et F8 mais il ne passe pas en mode sans echec, g peux appercevoir en vitesse,o Hard disk .... et .... mais cela va tellement vite, je dois avoir un probleme ? si je ne trouve pas, je pense à un formatage ;o(
merci quand même

Utilisateur anonyme · Answer

re :-)

c'est pas très compliqué pourtant (scrogneugneu!) (on va essayer autre chose)
et pitié! pour ton ordi - arrête de formater à la moindre infection (ça peut TRES mal finir....)

regarde ici comment on procède screenshot
http://www.ordi-netfr.org/tutorialhijackthis.html

*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot (redémarre) ton ordi
*nettoie le cache internet (cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./outils système/..) <--important!
(mais n'oublie pas.... pour les O4 : 1) ctrl+alt+supp et 2) fixer)

Applique cette méthode pour le mode sans échec (Symantec) :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020325143456924
Méthode recommandée
comme ça tu n'auras plus qu'à sélectionner et déselectionner la case : "/SAFEBOOT"

autre méthode (similaire)
Ajouter le Mode sans échec au menu de démarrage
http://www.pcastuces.com/pratique/windows/xp/sansechec.htm

Ensuite tu fais une vérification supplémentaire pour les dossiers à virer ; indiqués dans : (3 dossiers c'est peu! - ils seront peut être déjà virés si tu suis bien la procédure complète)
C:\Program Files\ABK\abk.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe

SI ils sont encore présents :
1) Afficher les dossiers cachés et protégés
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

2) désactivation de ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

3) tu passes en mode sans échec et tu fais les suppressions

4) tu rédemarres en mode normal tu effectues TOUT les nettoyage (plus haut)

5) tu réactives ta restauration système

c'est toi qui commande ton ordinateur n'oublie pas, tu dois faire ce que TU veux et non pas ce que LUI veut...... si tu formates pour tout et n'importe quoi, jamais tu n'auras le contrôle (pi! tu resteras une authentique bille en informatique :-]]]] )

@+ ^_^

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

balltrap34 · Answer

+1ca c est de lexplicationla chasse et le balltrap ma vrai passionvoir site perso dans profil

dorifor · Answer

message à Dolly.Dagger
milles excuses pour le retard à ta réponse (je pense que tu vas fulminer) mais g du formater mon DD hélas, g suivi les instruction mais en ayant coché "safeboot" mon PC n'a pas arreté de rebooter,
impossible d'aller dans windows, si tu connait un truc pour sortir du "safeboot" je suis preneur pour la prochaine fois, si il y a lieu.
autre demande au hasard si tu connais: j'avais fais une image de mon DD dur (sur un dvd) avant avec Pc cloneur, si je passe par le boot de pc cloneur il ne reconnait pas mon lecteur et si une fois formaté au moment de l'install il me dit que des fichiers( je ne sais + si c des fichiers) sont actifs, donc que faire ?? je ne sais pas si je suis sur le bon forum ???, mais si tu connais, merci

Mon log sur HijackThis

7 réponses

Discussions similaires