analyse hitjack this pour problème istbar Fermé

Question

Bonjour,
voilà le résultat de mon scan hitjack this (problème malware istbar que je n'arrive pas à enlever même en fixant les éléments douteux de ce scan). Tout essayer : ad-adware, sptbot, cwschreder

Merci d'avance ;

Logfile of HijackThis v1.99.0
Scan saved at 12:25:39, on 23/12/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\NISSERV.EXE
C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\IAMAPP.EXE
C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\NISUM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\WANADOO\CNXMON.EXE
C:\PROGRAM FILES\THOMSON\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\HECAPK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\WANADOO\ESPACEWANADOO.EXE
C:\PROGRAM FILES\WANADOO\COMCOMP.EXE
C:\PROGRAM FILES\WANADOO\WATCH.EXE
C:\WINDOWS\D3RA32.EXE
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX0L.LB2\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Class - {A75EA09A-2869-F5FE-3169-78BC7FEDCEAE} - C:\WINDOWS\SYSTEM\ADDFV.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Program Files\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Cvi5] C:\HECAPK.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [D3RA32.EXE] C:\WINDOWS\D3RA32.EXE
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)

Utilisateur anonyme · Answer

m'enfin! pas de double post!! - je t'ai déjà répondu sur l'autre^_^*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

Salut
en mode sans echec(presser F8 au demarrage du pc)

--termines ce processus

C:\HECAPK.EXE
C:\WINDOWS\D3RA32.EXE
et si inconnus supprimes les exe correspondant

--ensuite rehijack et coches/fixes ces lignes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R3 - Default URLSearchHook is missing
2 - BHO: Class - {A75EA09A-2869-F5FE-3169-78BC7FEDCEAE} - C:\WINDOWS\SYSTEM\ADDFV.DLL<<< SUSPECT
O4 - HKLM\..\Run: [Cvi5] C:\HECAPK.EXE << SUSPECT
O4 - HKLM\..\RunServices: [D3RA32.EXE] C:\WINDOWS\D3RA32.EXE<< SUSPECT
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)

Thin is the line between Love and Hate.......

Utilisateur anonyme · Answer

bedouin pourtant dolly (que je salut) t'a bel et bien repondu

Membre CCMAjouté par dolly.dagger (23/12/2004 à 14:57 GMT+1)

tu exécutes d'abord les 1) fix en mode normal, ensuite - 2) suppression des programmes exe en mode sans échec

1) dans le log fixer

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\slxru.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\slxru.dll/sp.html#28129

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {A75EA09A-2869-F5FE-3169-78BC7FEDCEAE} - C:\WINDOWS\SYSTEM\ADDFV.DLL

les lignes 04
1) ctrl/alt/supp : clic arrêter sur ces processus
2) tu repasses sur le log et tu fixes
attention! avec 98 cette manip décoiffe un peu.....

O4 - HKLM\..\Run: [Cvi5] C:\HECAPK.EXE
O4 - HKLM\..\RunServices: [D3RA32.EXE] C:\WINDOWS\D3RA32.EXE

O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)

2) à suprimer impérativement en mode sans échec
C/:<-- situé dans HECAPK.EXE
C:\WINDOWS\<- situé dans D3RA32.EXE
(tu déploies C-->WINDOWS<--recherche et supprime l'exe)

si tu ne les trouves pas, affiche les dossiers cachés et protégés
http://www.mon-ordi.com/fichierscachwme.htm

télécharger Ad-aware.SE/ Spybot.s&d 1.3 <--un minimum à avoir!

http://telechargement.zebulon.fr/36-Ad-Aware-SE-Personal-edition-1.03.html
http://telechargement.zebulon.fr/79-Spybot---Search-&-Destroy.html

* le tuto ad-aware :
**http://41822.aceboard.net/41822-232-6216-0-Tutorial-Aware-Personal.htm
* les tutos spybot 1.3 : http://tomcoyote.com/SPYBOT/indexfr.php
**http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php

Thin is the line between Love and Hate.......

bedouin · Answer

Excuses Dolly, j'avais pas vu...

J'ai fait tout ça, j'ai réussi à virer Ist et hecapk et d3ra32 mais ça ne règle pas mon problème de page de démarrage qui se refout à chaque fois sur homesearch et en plus je me rechope des palanquées de coolweb et autre winfr32 alors même que je ne surf plus depuis deux jours que dans deux ou trois forum pour avoir des infos. Comme si j'avais un générateur automatique de malware implanté dans ma bécane

Auuuuuuu secccouurs

Utilisateur anonyme · Answer

télécharge ad-aware se et spybot 1.3!!!!effectue les scans hors connexion*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

bedouin · Answer

J'ai fait. Ca trouve des coolwebsearch que je supprime mais toujours ce problème de page de démarrage qui se refixe sur homesearch même après fixation avec hijackthis

Utilisateur anonyme · Answer

fait les fix en mode sans échec
et active la case BHO "bloquer les pages nuisibles silencieusement" après le scan avec spybot1.3
si ça persiste pour CWS voir
CoolWWWSearch.SmartKiller removal tool
http://www.spywareinfo.com/~merijn/downloads.html
ou ici
http://www.intermute.com/spysubtract/cwshredder_download.html

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

*tu as fais les fix en mode sans échec?
*tu as utilisé l'anti-CWS ?
*la case BHO dans Spybot on ne l'a voit qu'après un scan, je t'ai mis les tutos d'ad-aware et spybot tu n'as pas dû les regarder

essaye l'outil CWS, fait les fix en mode sans échec et refait un nouveau log hijack

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

bedouin · Answer

J'ai réinstaller spybot et j'ai l'option bho. A chaque fois que j'allais sur internet, une application (javazh) demande à changer les registres. J'ai dit non. Puis j'ai supprimé ce javazh en mode sans échec (car il était utilisé par windows en mode normal). Mais j'ai l'impression que dans windows et windows/system, j'ai plein de ce type d'application. Je ne sais pas trop comment les reconnaitre. Enfin pour le moment, j'ai l'impression d'avoir régler le problème de changement de page.

merci pour tout.

Utilisateur anonyme · Answer

re ^_^

en fait c'est pas très compliqué, quand tu veux faire une vérif d'un programme tu lances une recherche sur Google

exemple
C:\WINDOWS\SYSTEM\QTTASK.EXE
réponse
qttask - qttask.exe
Le processus qttask.exe (qttask signifiant QuickTime Task) est un processus correspondant au lecteur multimédia QuickTime de Apple.
Il s'agit d'un processus applicatif pouvant être arrêté.

C:\HECAPK.EXE
Aucun document ne correspond aux termes de recherche spécifiés (HECAPK.EXE ) <-- assez parlant non?

----------------------------------------------------------------------------------------
Java in Adaptive Server Enterprise 12.5.1 (Chinese): Table of ... -
sybooks.sybase.com/onlinebooks/ group-as/asg1251c/javazh/@Generic__BookView -

ché pas ce que tu as téléchargé, des infos sur Google un peu obscures, il semblerait que ce soit un extension Java pour développeur et en chinois.... lolll

http://www.google.com/search?hl=fr&q=javazh&btnG=Rechercher&lr=

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Analyse hitjack this pour problème istbar

10 réponses

Discussions similaires