Hijakthis ..... un avis sur mon log

Fermé
tibo - 5 déc. 2004 à 23:18
 Utilisateur anonyme - 7 déc. 2004 à 13:24
Bonjour à tous

C'est mon premier post sur le sujet. Je decouvre avec effroi des pb de spyware que j'avais j'amais vu avant; le message va etre un peu long parceque j'aimerais expliquer tout ce que c'est passé depuis qq jours.

Pour ceux que m'a vie saoulerait, vous trouverez une copie de mon log HijackThis à la fin ..... si j'ai bien compris y'a que par son intermediare que l'on voit les pbs ....... donc c'est l'element essentiel et il est à la fin.

Pour les courageux et les altruistes, voici donc l'histoire :

Je pars en vacance un mois et laisse ma maison à une petite nana pour k'elle la surveille. .... Qd je reviens ma machine est bugger à mort et ne démarre plus. Salope . je formate donc le disk systeme et réinstalle XP.
Tout ça sans ADSL, parceke avant de partir, pas fou, j'ai résilié mon abonnement Tiscali pour commander la freebox dés mon retour.

J'installe XP et mes outils de musique (mon truc c Cubaz ... pour ceux qui connaissent fo un bon bout de temps avant de récupérer tous les bon VST) . J'installe tout et ERREUR, j'installe rien de mes antivirus et firwall, pensant que, sans mise à jour, ça servirait à rien.

Tout va bien jusque là .... je reçois la Freebox. Tout content je la plug directe et m'aperçoit que la config est simplissime ... la connection marche mais HORREUR : les problemes déboulent .
Je n'ai pas surfer, pas consulter de mail, rien ..... et ma machine se met à ramer, Explorer débloque etc ..... Affolement : j'installe "enfin" mon antivirus "AVG 7" (avec licence svp) , et zone ALarme.
AVG trouve tout de suite des chevaux de trois : Startpage.11.A , BackDoor.SBot et padobotV ....... et les corrigent.

J'ai aussi lancé l'antivirus en ligne de Trned Micro : http://housecall.trendmicro.com/
qui m'a dit avoir deloger un truc ou deux.

Mais au final ZoneAlarme m'inquiete et me demande des choses au sujet de Winupdsys.exe qui veux se connecter.
De plus, avec les pb de connection, j'ai toujours une barre d'adresse cochonne EliteBar dans mon navigateur.

J'essaye Adaware et spybot qui trouvent tout ça mais ne resolvent rien.

Sur les différents forums, j'ai compris que HijackThis, donnait une idée claire des pb ...... je le lance et vire 3 lignes qui portait des noms de Elite Bar ..... effectivement, celle-ci n'est plus dans mon explorer et zone alarme ne parle plus de Winupdsys.exe ..... mais je crois que les pb sont toujours là .....

DONC :

ma première question : mais qu'est ce que j'ai bien pu faire pour me choper tout ça ?

Puis

Comment m'en préserver (AVG, Adaware, ZoneAlarme et spybot ) sufiront-ils à l'avenir ..... ?


Pour finir : comment me débarasser efficacement de tout ça ?

VOICI DONC MON LOG fait avec HijackThis


-----------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 23:11:40, on 05/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\ATI Technologies\Panneau de contrôle ATI\atiptaxx.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\SystemStats.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\freescan\freescan.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\Program Files\Wacom\TabUserW.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HIJACK\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tibog.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Servicio Local] svhost.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\vrydjm.exe
O4 - HKLM\..\Run: [System Stats] SystemStats.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\RunServices: [Servicio Local] svhost.exe
O4 - HKLM\..\RunServices: [System Stats] SystemStats.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Servicio Local] svhost.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] msupdate.exe
O4 - HKCU\..\Run: [System Stats] SystemStats.exe
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: TabUserW.lnk = C:\Program Files\Wacom\TabUserW.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab



------------------------------------------
Voilà; ct long mais merci bcps d'avoir lu


@plus
tibo

9 réponses

salut
Vérifie ces pgm :
C:\WINDOWS\system32\SystemStats.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe > ok version free mais Pro payant s’apell zlclient ?? à checker

Si pas sûr tu zip le fichier et efface le .EXE

Relances HijackThis et cocher toutes ces lignes, puis FIX :
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http ://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http ://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http ://searchmiracle.com/sp.php
O4 - HKLM\..\Run: [Servicio Local] svhost.exe >bon process est svChost
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\vrydjm.exe
O4 - HKLM\..\Run: [System Stats] SystemStats.exe
O4 - HKLM\..\RunServices: [Servicio Local] svhost.exe >> idem svChost donc virus ?? 2èm x
O4 - HKLM\..\RunServices: [System Stats] SystemStats.exe >>>2ème X
O4 - HKCU\..\Run: [Servicio Local] svhost.exe >> 3ème x
O4 - HKCU\..\Run: [Microsoft Update Machine] msupdate.exe >>pas le bon pour màj
O4 - HKCU\..\Run: [System Stats] SystemStats.exe >> 3ème x

A cocher et FIX si tu connais pas :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http ://www.tibog.net/
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

Par ailleur
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe –FastScan ce logiciel suspect, préférer Spybot S&D
Et ton Adaware 6 il existe une màj logicielle AdAware SE, donc désinstalle celui que tu as et réinstalle là
http://www.lavasoftusa.com/support/download/

a+
0
salut va d abord faire un tour la http://www.snapfiles.com/get/adaware.html puis la http://www.safer-networking.org/fr/index.html et la aussi http://www.emsisoft.com/en/software/free/ tout en mode sans echec et apres re fait un scanne hijakthis et apres tu peux faire une analyse de t on hijac a cette adresse http://www.hijackthis.de/index.php?langselect=english .voilou
0
yop, me revoila,

bon, merci bcps , je crois que j'avance.

J'ai effectivemnt mis à jour ma version de adaware ..... je lui ais fais scanner mon dur en mode ss echec , mm chose avec spybot ....

Il a trouver pleins de truc (70 environ qu'il a corriger). Spybot s'est tenu relativement calme dans son scan suivant. (j'ai lu que DSOExploit est un bug, et k'il ne fallait pas en tenir compte .... ct sa seule remarque)

De retour en mode normal jai "Hijacker" tout ça, et , tres bien ton petit lien, fais analyser le resulat .

Le résultat est moins flippant qu'avant mais il reste toujours des reférence à "systemStats.exe" que je n'arrive pas à virer (mm avec regCleanner)

Voilà mon dernier log ..... il se fait tard je donnerais suite à tout ça demain .

Mais déjà "merci messieurs", votre aide vaut de l'or

-------
Logfile of HijackThis v1.98.2
Scan saved at 01:53:50, on 06/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\Panneau de contrôle ATI\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\a2\a2guard.exe
C:\WINDOWS\system32\SystemStats.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\Program Files\Wacom\TabUserW.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\HIJACK\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tibog.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [System Stats] SystemStats.exe
O4 - HKLM\..\RunServices: [System Stats] SystemStats.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [System Stats] SystemStats.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: TabUserW.lnk = C:\Program Files\Wacom\TabUserW.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

--------------------
0
salut
ok, déjà beaucoup plus propre, reste 1 seul problème:
SystemStats.exe
celui là sans doute à éliminer, vérifie avec Recherche et ce nom puis cliq droit souris pour Propriétés, si tu connais pas alors redémarre mode sans échec
fais recherche à nouveau et effaces les tous
idem dans la BDR
Démarrer/exécuter/regedit
là tu fais Edition/recherche/ le nom.exe et tu effaces tout ce qu'il trouve

au fait, ton ZoneAlarm est activé là? je ne vois pas zlclient.exe
a+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
suite
DSO exploit, la mise à jour disponible là
à charger là http://www.majorgeeks.com/download4392.html
a+
0
hello

bon, c bizarre tout ça.

Pour debuter la journée, j'ai lancé AdAwareSE ..... qui n'a rien trouvé.
Pourtant Hijack contient tjours des ligne avec Systemstats.
Donc là j'ai suivi tes conseils Bernie61 en redemarrant en mode ss Echec .
La recherche sur le dur n'a rien donné (mm sur les fichiers cachés).
dans Regedit, j'ai supprimé toutes les lignes referant le fichier.... bon après ça on peut se dire que les choses sont réglé : ben nan !

Sur le redemarrage normal suivant tout revient !!!

En ce qui concerne Spybot j'ai fait la mise à jour ..... mais j'aurais peut être du faire un désinstallation avant car j'ai tjours DSOExploit dans le résultat .....

Au sujet de ZoneAlarm : oui il était activé : peut être que je le regle mal ?

En tout cas voici mon log de l'instant.

PS: j'ai fait ces manips un peu vite (entre deux tafs) j'espère n'avoir rien oubliés

----------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 13:46:08, on 06/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\Panneau de contrôle ATI\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\a2\a2guard.exe
C:\WINDOWS\system32\SystemStats.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\Program Files\Wacom\TabUserW.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tibog.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [System Stats] SystemStats.exe
O4 - HKLM\..\RunServices: [System Stats] SystemStats.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [System Stats] SystemStats.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: TabUserW.lnk = C:\Program Files\Wacom\TabUserW.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

----------------------------------

Merci pour votre aide
0
Utilisateur anonyme
6 déc. 2004 à 14:10
salut

il faut faire :
C:\WINDOWS\system32\SystemStats.exe
recherche en déployant C--->Windows-->system32<--supprime l'xxxx.exe

1) afficher les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" *

2) passer en mode sans échec pour la suppression
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php
(en gros on donne de rapides impulsions sur la touche F8 dès l'allumage et on se déplace avec les flêches du clavier pour choisir ce mode)

Pour le log
O4 - HKLM\..\RunServices: [System Stats] SystemStats.exe
1) ctrl+alt+supp : tu arrêtes ce ou ces processus dans le gestionnaire des tâches
2) tu repasses sur log hijack et tu fixes

*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

Name : System Stats
Command SystemStats.exe
Status X
Description : Added by a variant of the W32/WOOTBOT WORM

bizarre que ZA ne l'est pas bloqué ou t'es averti de cette intrusion??
Configurer Zone Alarm Pro
Suivez le guide pour bien configurer votre firewall
http://www.zebulon.fr/articles/configurationZA_1.php



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
hello

bon c super je crois que les choses vont mieux.

J'ai suivi ta procedure, dolly.dagger .
:] ..Merci pour le petit truc à décocher pour les fichiers systemes cachés ...... il était là le salaud.

Pour répondre à ta question sur ZoneAlarm : c'est lui qui m'a alerté dés le debut en me pointant des demandes de connection de la part de ce fameux "SystemStats.exe".

Mais effectivement je comprend pas comment j'ai pu chopper ça ...??

Voici le log :
-------------------------
Logfile of HijackThis v1.98.2
Scan saved at 19:10:31, on 06/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\Panneau de contrôle ATI\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\Program Files\Wacom\TabUserW.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tibog.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: TabUserW.lnk = C:\Program Files\Wacom\TabUserW.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

--------------------------

Un grand merci à vous. Qd c'est nouveau , ça fait tout bizarre.
0
Utilisateur anonyme
7 déc. 2004 à 13:24
re-salut tibo ^_^

ton log est clean, mais je vois que tu n'as pas bloqué les intrusions parasites des pages de démarrage avec Spybot (ça se voit dans un log avec l'apparition de lignes 06/HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present (option "Lock homepage from changes" (verrouiller le changement de page de démarrage) dans Spybot S&D)

qd tu vas refaire un scan, au moment de la vaccination - tu verras sur la page une case à cocher -->BHO<--choisit "...blocage des pages nuisibles silencieusement"

et uploade ta version ad-aware 6.0 si tu l'as pour Ad-aware SE

Ad-aware.SE
http://telechargement.zebulon.fr/36-Ad-Aware-SE-Personal-edition-1.03.html

* le tuto ad-aware :
**http://41822.aceboard.net/41822-232-6216-0-Tutorial-Aware-Personal.htm
* les tutos spybot 1.3 : http://tomcoyote.com/SPYBOT/indexfr.php
**http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php

*Ad-aware SE est curatif
*Spybot est curatif et préventif

Bon surf :-)


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0