Sujet Précédent Sujet Suivant

Log hijackthis pour conseils SVP

Fermé
andré - 12 janv. 2005 à 12:47
 shadowwar - 1 févr. 2005 à 02:21
Voila c'est pas de la tarte et je vous remercie d'avance de bien vouloir m'aider en attendant vos réponses je me prosterne devant votre génie informatique! on y va,

je n'ai plus la ligne executer ds le menu de demarrage
qd je supprime un fichier il pas plus par la corbeille,

ad-aware a tendance a ce planter a la fin du scan et refuses de me supprimer c:\windows\system32\m6julg1916.dll
avast se plante sur c:\pagesfiles

page de démarrage search the web

Logfile of HijackThis v1.99.0
Scan saved at 10:24:46, on 12/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\SED\SED.exe
C:\Program Files\Tweak-XP\blads.exe
C:\Program Files\Tweak-XP\popup.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\crqj.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\klum\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"
O4 - HKLM\..\Run: [javatp.exe] C:\WINDOWS\system32\javatp.exe
O4 - HKCU\..\Run: [BlockAds] C:\Program Files\Tweak-XP\blads.exe
O4 - HKCU\..\Run: [Pop-Up-Blocker] C:\Program Files\Tweak-XP\popup.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STManager] "C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe" -b
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted IP range: (HKLM)
O16 - DPF: RaptisoftGameLoader -
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} -
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} -
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099228269418
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} -
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} -
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} -
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} -
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} -
O21 - SSODL: eplrr - {B137FBCA-78E7-453B-B080-A9FF895B6F2A} - C:\WINDOWS\System32\eplrr3.dll
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Security Agent - Unknown - C:\WINDOWS\system32\scagent.exe (file missing)
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\crqj.exe

c'est pas beau ca! merci encore de m'aider a faire tourner ce systeme correctement

105 réponses

Précédent
Réponse 61 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 13:04
oki suis bien toute la manouevre dans l ordre
-Relance "dllfix.exe" du début. Cette fois-ci option "2 : run fix"

Sous menu "1- Enter dll name..."

Tu rentres le nom : C:\WINDOWS\System32\IHXRTMGR.DLL
Touche entrée.

-Il va la chercher et la supprimer après un redémarrage.

-Passer CoolWebSchredder : ->Fix.
CWShredder
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next

-Passer AdAware et supprimer tout ce qu'il trouvera.
(Passer CWS et AdAware impérativement, même si ça a été fait avant!)
voici les lien des 2 log a telecharger avant


la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
andré
22 janv. 2005 à 14:39
voici la reponse de dllfix:

5 fichiers copiés

erreur: le système n'a pas pu trouver la clé ou la valeur de registre spécifié

ensuite plus rien, pas de proposition de redémarrage

j'ai pas continué la suite, est-ce normal le \\?\ devant la ligne c:\windows\system32\ihxrtmrg.dll ds le log de dllfix
0
Réponse 62 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 14:56
refait un hijack pour voir


la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 63 / 105
andré
22 janv. 2005 à 15:01
voici
0
Réponse 64 / 105
andré
22 janv. 2005 à 15:02
excuse-moi

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\klum\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099228269418
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 15:06
oki
je ne sais plus si ont la fait
demarre en mode sans echec relance hijack coche et fix les 01
redemarre et refait un hijack
la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
andre
22 janv. 2005 à 15:28
on l'avait fait, j'ai recommencer et cette fois il ma fixer la derniere ligne01, bonne nouvelle?
0
Réponse 66 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 15:31
met moi le rapport


la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
andré
22 janv. 2005 à 15:45
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\klum\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099228269418
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
0
Réponse 67 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 15:52
recommence en mode sans echec et fix les
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

redemarre et refait hijack et met le rapport

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 68 / 105
andré
22 janv. 2005 à 16:48
j'ai recommencé plusieurs fois rien a faire, c'est qd meme curieux que une ligne a fini par ce fixer et pas les autres surtout que les 2 dernières était identique, prq une et pas les autres puisq'elle ont la meme IP?

revoici le log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\klum\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099228269418
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
0
Réponse 69 / 105
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
22 janv. 2005 à 16:55
Salut André,

Tu peux remettre un log dllcompare ?
Histoire de voir quels dll continuent de bloquer.
0
andré
22 janv. 2005 à 17:35
bonjour, tu vas bien?

voici ce que tu m'a demandé


* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\dquiext.dll Sat 22 Jan 2005 15:38:26 ..S.R 222 665 217,45 K
C:\WINDOWS\SYSTEM32\ihxrtmgr.dll Sat 22 Jan 2005 12:43:46 ..S.R 222 665 217,45 K
C:\WINDOWS\SYSTEM32\irjml5~1.dll Sat 22 Jan 2005 16:37:20 ..S.R 225 933 220,64 K
C:\WINDOWS\SYSTEM32\jst.dll Sat 22 Jan 2005 17:04:14 ..S.R 224 818 219,55 K
C:\WINDOWS\SYSTEM32\lv2409~1.dll Sat 22 Jan 2005 16:46:42 ..S.R 225 247 219,96 K
C:\WINDOWS\SYSTEM32\lvn609~1.dll Sat 22 Jan 2005 17:04:14 ..S.R 225 477 220,19 K
C:\WINDOWS\SYSTEM32\n48o0e~1.dll Sat 22 Jan 2005 16:32:58 ..S.R 224 818 219,55 K
________________________________________________

1 628 items found: 1 628 files (7 H/S), 0 directories.
Total of file sizes: 292 842 242 bytes 279,27 M

Administrator Account = Vrai

--------------------End log---------------------
0
Réponse 70 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 16:55
relanse vx2 clik sur host log cherche ces 3
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch
suppr les enregistre relance hijack coche et fix les 01 et aussi celle ci
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
redemarre et refait un hijack

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
andré
22 janv. 2005 à 17:19
ok bien recu!

je vais faire ca, mais il va me falloir un pti momment, ne vous inquité pas si vous avez pas les rapports rapidement, je lache pas.

merci a vous !
0
Réponse 71 / 105
andré
22 janv. 2005 à 17:22
balltrap,

relancé vx2 avec ad-aware?
0
Réponse 72 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 17:31
non le logiciel vx2
http://www.downloads.subratam.org/VX2Finder(126).exe


la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 73 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 17:39
quand tu auras fait se que je t ai dit si cela na pas resolue le probleme
ont referas un dllcompare tu nous met le rapport et surtous ne redemarre pas apres se dll compare

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 74 / 105
andré
22 janv. 2005 à 17:51
je viens de le faire et j'ai la meme reponse que j'avait eu avant, ca va pas

vous allez finir par croire que je me moque de vous, mais c'est pas le cas, du tout!

vx2finder, repond: fichier introuvable
0
Réponse 75 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 18:19
tu n arrive pas a lancer vx2

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 76 / 105
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
22 janv. 2005 à 18:41
Il faut effacer ces fichiers avec killBox, fait comme ceci:

Coupe ta connexion internet, execute KillBox,
Selectionne: Replace on Reboot
Coche: Use Dummy

Copie les lignes suivantes dans killbox et clique sur le bouton avec l'icone rouge, croix blanche. (ligne après ligne.)

C:\WINDOWS\SYSTEM32\dquiext.dll
C:\WINDOWS\SYSTEM32\ihxrtmgr.dll
C:\WINDOWS\SYSTEM32\irjml5~1.dll
C:\WINDOWS\SYSTEM32\jst.dll
C:\WINDOWS\SYSTEM32\lv2409~1.dll
C:\WINDOWS\SYSTEM32\lvn609~1.dll
C:\WINDOWS\SYSTEM32\n48o0e~1.dll
C:\WINDOWS\SYSTEM32\Guard.tmp

Reboot

Reposte un log DllCompare pour voir si on a tout effacé.
Ainsi que la clef :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Menu Démarrer, executer,
entre Regedit,
Cheche la clef,
Exporte là sur ton bureau. Click droit dessus, edit,
colle le contenu à la suite.
0
andré
22 janv. 2005 à 20:03
voila j'ai executé,

jst.dll
lvn609~1.dll
n480Oe~1.dll
guard.tmp

killbox renvoie le message: pending file.... voir plus haut
0
Réponse 77 / 105
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 janv. 2005 à 18:48
andre prend trop de temp entre chaque reponse cela devient difficile

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
22 janv. 2005 à 18:56
Faut pas qu'il lâche maintenant. ;-)
0
Réponse 78 / 105
andré
22 janv. 2005 à 19:35
je suis dsl pour mon temps de réponse, je sais pas etre non stop sur le pc c'est plus facile pour moi le matin plus de temps, je fait les autres instructions maintenant puis je vous laisserais tranquille pour ce soir, vous l'avez plus que mérité
0
Réponse 79 / 105
andré
22 janv. 2005 à 20:12
merci pour tout ce que vous avez fait aujourd'hui pour moi, mais faut que je laisse, prcq ma chérie veut que j'arrete, j'ai pas le choix, je veux pas avoir des ennuis avec! ptètre killbox aussi, lol

merci, bonne soirée, a demain j'espere, svp! ne me laissé pas tombé! j'ai besoin de vos compétance. grace a vous on a deja reussi a supprimer une ligne 01 ds le hijack
0
andré
23 janv. 2005 à 13:58
je suis de retour, j'ai refait 2 ou 3 opérations, ce que je comprends pas c'est pourquoi qd je fait un scan kijack en mode sans echec je n'ai plus les lignes 01 et en mode normal elle revienne, pouvez-vous m'expliquer?

merci
0
Réponse 80 / 105
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 10
23 janv. 2005 à 17:11
Salut André

Quand tu démarres en mode sans echec, Windows démarre avec le minimum de drivers et de softs. Il ne prend pas en compte les configs reseaux et donc les données du fichier Hosts sont ignorées.

Tu vas faire un DllCompare,
clique sur [Run locate.com],
Quand le scan est terminé, clique sur [Compare]

ensuite il faut supprimer avec Killbox celle qu'il va te donner en suivant cette procedure:

Coupe ta connexion internet, execute KillBox,
Selectionne: Replace on Reboot
Coche: Use Dummy
Efface ligne après ligne les dll données par DllCompare
en ajoutant en fin de liste:
C:\WINDOWS\SYSTEM32\Guard.tmp

puis reboot
et relance dllcompare.
recommence tant qu'il te donne des dll.

une fois fini:
Menu Démarrer, executer,
entre Regedit
Cheche la clef

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Exporte là sur ton bureau. Click droit dessus, edit et colle le contenu ici, avec un rapport VX2Finder.
0
andré
23 janv. 2005 à 18:07
victoire! sur la page search the web, je l'ai plus je suis fou de joie, j'en pleure presque, j'ai utilisé adaware aware, puis adaware,hijack..... plus de abou:blank! j'ai mis page prefere par défaut pas de probleme ca roule, cependant j'ai tjrs des tentatives d'intrusion, peut-etre prcq'il me reste encore des 01 host, j'ai fait ca en mode normal, je pense que j'aurais du essayer en mode sans echec. je t'i meme pas dit bonjour! tu vas bien?

que pense tu d'un editeur hexadecimal pour supprimer ces trucs?

merci a toi,
0

Discussions similaires

TI college plus (calculatrice probleme)
help39 -
Whismeril -

3 réponses
comment taper log10 sur une TI83plus.fr ?
FFFred -
FFFred -

2 réponses
logs freebox serveur
cocopops -
lemassykoi -

3 réponses
Caluculatrice Ti Collège
Lami2toi -
Lami2toi -

4 réponses
Analyse des logs hijackthis
philnoug -
nayas13 -

35 réponses