Realsearch & Analyse HijackThis
Grég
-
rolibus1 -
rolibus1 -
Bonjour,
Il semble que nous ayons le même problème sur un des ordi du bureau, je suppose que quelqu'un est allé se ballader sur des sites xxx et je suis chargé de réparer mais cela dépasse mes compétences, pouvez-vous m'aider ?
J'ai installé HijackThis, vu le scan et j'ai fait supprimé toutes les lignes comportant realsexe (R1, 015, etc...)
J'ai supprimé les cookies, les fichiers temporaires mais aprés le redémarrage le phénomène realsearch ou 69sexsearch recommence.
Il inscrit un lien dans mes favoris, change ma page d'accueil sous IE et dès que je ferme IE il ouvre des dizaines de fenêtre avec realsearch.
Voici le rapport de HijackThis, pouvez-vous m'aider à trouver le responsable et à supprimer les intrus.
Un grand merci !
Logfile of HijackThis v1.99.0
Scan saved at 15:18:47, on 17/01/2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\FICHIE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\WINNT\loadqm.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINNT\system32\xpsp2fw.exe
C:\WINNT\system32\ASFAT.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe
C:\Program Files\Norton AntiVirus\OPScan.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://realsearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [cpqek] C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\FICHIE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Cgtask Services] C:\WINNT\System32\cgtask.exe
O4 - HKLM\..\Run: [MMtask Service] mmtask.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [9F6367CB] C:\WINNT\system32\ASFAT.exe
O4 - HKLM\..\Run: [9C36E0FE] C:\WINNT\system32\VIFICLIDLL.exe
O4 - HKLM\..\Run: [8D7BD9D3] C:\WINNT\system32\DPASFrows.exe
O4 - HKLM\..\Run: [A0825083] C:\WINNT\system32\l3VPFGof.exe
O4 - HKLM\..\Run: [982C9286] C:\WINNT\system32\LRTKl30.exe
O4 - HKLM\..\Run: [8C135F6B] C:\WINNT\system32\cdrEXTd3di.exe
O4 - HKLM\..\Run: [5D6989DE] C:\WINNT\system32\DSLDLRroi.exe
O4 - HKLM\..\Run: [5168C146] C:\WINNT\system32\ATvuace.exe
O4 - HKLM\..\Run: [5D0B09CE] C:\WINNT\system32\ctSFVIF.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SSK Service] C:\WINNT\winssk32.exe
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe
O4 - HKCU\..\Run: [9F6367CB] C:\WINNT\system32\ASFAT.exe
O4 - HKCU\..\Run: [9C36E0FE] C:\WINNT\system32\VIFICLIDLL.exe
O4 - HKCU\..\Run: [8D7BD9D3] C:\WINNT\system32\DPASFrows.exe
O4 - HKCU\..\Run: [A0825083] C:\WINNT\system32\l3VPFGof.exe
O4 - HKCU\..\Run: [982C9286] C:\WINNT\system32\LRTKl30.exe
O4 - HKCU\..\Run: [8C135F6B] C:\WINNT\system32\cdrEXTd3di.exe
O4 - HKCU\..\Run: [5D6989DE] C:\WINNT\system32\DSLDLRroi.exe
O4 - HKCU\..\Run: [5168C146] C:\WINNT\system32\ATvuace.exe
O4 - HKCU\..\Run: [5D0B09CE] C:\WINNT\system32\ctSFVIF.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://*.69sexsearch.com
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xyz.aflashcounter.com/a/masta.chm::/exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/fr/win/QuickTimeInstaller.exe
O23 - Service: Avertissement - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Gestion d'applications - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Explorateur d'ordinateur - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Gestionnaire de disque logique - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Client DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Journal des événements - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Service de télécopie - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Serveur - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Station de travail - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Service d'application d'assistance TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Affichage des messages - Unknown - C:\WINNT\System32\services.exe
O23 - Service: MMtask Engine - Unknown - C:\WINNT\System32\mmtask.exe (file missing)
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Ouverture de session réseau - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Fournisseur de la prise en charge de sécurité LM NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agent de stratégie IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Emplacement protégé - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire de comptes de sécurité - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Planificateur de tâches - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Service d'exécution par délégation - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Client de suivi de lien distribué - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire d'utilitaires - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horloge Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Infrastructure de gestion Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Extensions du pilote WMI - Unknown - C:\WINNT\system32\Services.exe
Il semble que nous ayons le même problème sur un des ordi du bureau, je suppose que quelqu'un est allé se ballader sur des sites xxx et je suis chargé de réparer mais cela dépasse mes compétences, pouvez-vous m'aider ?
J'ai installé HijackThis, vu le scan et j'ai fait supprimé toutes les lignes comportant realsexe (R1, 015, etc...)
J'ai supprimé les cookies, les fichiers temporaires mais aprés le redémarrage le phénomène realsearch ou 69sexsearch recommence.
Il inscrit un lien dans mes favoris, change ma page d'accueil sous IE et dès que je ferme IE il ouvre des dizaines de fenêtre avec realsearch.
Voici le rapport de HijackThis, pouvez-vous m'aider à trouver le responsable et à supprimer les intrus.
Un grand merci !
Logfile of HijackThis v1.99.0
Scan saved at 15:18:47, on 17/01/2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\FICHIE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\WINNT\loadqm.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINNT\system32\xpsp2fw.exe
C:\WINNT\system32\ASFAT.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe
C:\Program Files\Norton AntiVirus\OPScan.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://realsearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [cpqek] C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\FICHIE~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Cgtask Services] C:\WINNT\System32\cgtask.exe
O4 - HKLM\..\Run: [MMtask Service] mmtask.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [9F6367CB] C:\WINNT\system32\ASFAT.exe
O4 - HKLM\..\Run: [9C36E0FE] C:\WINNT\system32\VIFICLIDLL.exe
O4 - HKLM\..\Run: [8D7BD9D3] C:\WINNT\system32\DPASFrows.exe
O4 - HKLM\..\Run: [A0825083] C:\WINNT\system32\l3VPFGof.exe
O4 - HKLM\..\Run: [982C9286] C:\WINNT\system32\LRTKl30.exe
O4 - HKLM\..\Run: [8C135F6B] C:\WINNT\system32\cdrEXTd3di.exe
O4 - HKLM\..\Run: [5D6989DE] C:\WINNT\system32\DSLDLRroi.exe
O4 - HKLM\..\Run: [5168C146] C:\WINNT\system32\ATvuace.exe
O4 - HKLM\..\Run: [5D0B09CE] C:\WINNT\system32\ctSFVIF.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SSK Service] C:\WINNT\winssk32.exe
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe
O4 - HKCU\..\Run: [9F6367CB] C:\WINNT\system32\ASFAT.exe
O4 - HKCU\..\Run: [9C36E0FE] C:\WINNT\system32\VIFICLIDLL.exe
O4 - HKCU\..\Run: [8D7BD9D3] C:\WINNT\system32\DPASFrows.exe
O4 - HKCU\..\Run: [A0825083] C:\WINNT\system32\l3VPFGof.exe
O4 - HKCU\..\Run: [982C9286] C:\WINNT\system32\LRTKl30.exe
O4 - HKCU\..\Run: [8C135F6B] C:\WINNT\system32\cdrEXTd3di.exe
O4 - HKCU\..\Run: [5D6989DE] C:\WINNT\system32\DSLDLRroi.exe
O4 - HKCU\..\Run: [5168C146] C:\WINNT\system32\ATvuace.exe
O4 - HKCU\..\Run: [5D0B09CE] C:\WINNT\system32\ctSFVIF.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://*.69sexsearch.com
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xyz.aflashcounter.com/a/masta.chm::/exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/fr/win/QuickTimeInstaller.exe
O23 - Service: Avertissement - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Gestion d'applications - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Explorateur d'ordinateur - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Gestionnaire de disque logique - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Client DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Journal des événements - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Service de télécopie - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Serveur - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Station de travail - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Service d'application d'assistance TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Affichage des messages - Unknown - C:\WINNT\System32\services.exe
O23 - Service: MMtask Engine - Unknown - C:\WINNT\System32\mmtask.exe (file missing)
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Ouverture de session réseau - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Fournisseur de la prise en charge de sécurité LM NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agent de stratégie IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Emplacement protégé - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire de comptes de sécurité - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Planificateur de tâches - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Service d'exécution par délégation - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Client de suivi de lien distribué - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire d'utilitaires - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Horloge Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Infrastructure de gestion Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Extensions du pilote WMI - Unknown - C:\WINNT\system32\Services.exe
A voir également:
- Realsearch & Analyse HijackThis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Échec de l'analyse antivirus. ✓ - Forum Antivirus
4 réponses
Salut
redemarres en mode sans echec(presser F8 des l'allumage du pc )
puis coches et fixes ces lignes
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://realsearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
O4 - HKLM\..\Run: [Cgtask Services] C:\WINNT\System32\cgtask.exe
O4 - HKCU\..\Run: [SSK Service] C:\WINNT\winssk32.exe
O15 - Trusted Zone: http://*.69sexsearch.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xyz.aflashcounter.com/a/masta.chm::/exe
O23 - Service: MMtask Engine - Unknown - C:\WINNT\System32\mmtask.exe (file missing)
pour le reste il y a encore plein de trucs suspects mais j'ai pas d'infos dessus donc on laisse.....
redemarres en mode sans echec(presser F8 des l'allumage du pc )
puis coches et fixes ces lignes
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://realsearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
O4 - HKLM\..\Run: [Cgtask Services] C:\WINNT\System32\cgtask.exe
O4 - HKCU\..\Run: [SSK Service] C:\WINNT\winssk32.exe
O15 - Trusted Zone: http://*.69sexsearch.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xyz.aflashcounter.com/a/masta.chm::/exe
O23 - Service: MMtask Engine - Unknown - C:\WINNT\System32\mmtask.exe (file missing)
pour le reste il y a encore plein de trucs suspects mais j'ai pas d'infos dessus donc on laisse.....
There's a thin line between Love and Hate....
coucou tt le monde, hello wael ^_^
1) on fait les fix hors connexion tous les programmes fermés
2) on supprime les exe en gras dans (en déployant) : C:-->/-->WInnt-->system32<--ici
à rajouter au fix
C:\WINNT\system32\xpsp2fw.exe<-- trojan
http://startup.iamnotageek.com/srch-xpsp2fw.exe.html
C:\WINNT\system32\ASFAT.exe <--exe inconnu, générée sûrement par un trojan ou virus
à supprimer en mode sans échec, la restauration système désactivée avec l'accès à tous les dossiers système
1) affichez les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>!!coche!! "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> !!décoche!! la case "Masquer les fichiers protégés du système d'exploitation*
2) restauration système :
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
3) mode sans échec :
donne de rapides impulsions dès l'allumage de ton ordi sur la touche F8 (ou F5) déplace-toi avec les flêches et choisit ce mode
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php
4) REACTIVER la restauration système
dans le log
Pour les lignes 04
1) ctrl/alt/supp : arrêter ces processus dans le gestionnaire des tâches
2) repasser sur le log hijack et fixer les lignes
O4 - HKLM\..\Run: [Cgtask Services] C:\WINNT\System32\cgtask.exe<--virus
http://www.liutilities.com/products/wintaskspro/processlibrary/cgtask/
O4 - HKLM\..\Run: [MMtask Service] mmtask.exe
http://startup.iamnotageek.com/srch-Mmtask.exe.html
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [9F6367CB] C:\WINNT\system32\ASFAT.exe
O4 - HKLM\..\Run: [9C36E0FE] C:\WINNT\system32\VIFICLIDLL.exe
O4 - HKLM\..\Run: [8D7BD9D3] C:\WINNT\system32\DPASFrows.exe
O4 - HKLM\..\Run: [A0825083] C:\WINNT\system32\l3VPFGof.exe
O4 - HKLM\..\Run: [982C9286] C:\WINNT\system32\LRTKl30.exe
O4 - HKLM\..\Run: [8C135F6B] C:\WINNT\system32\cdrEXTd3di.exe
O4 - HKLM\..\Run: [5D6989DE] C:\WINNT\system32\DSLDLRroi.exe
O4 - HKLM\..\Run: [5168C146] C:\WINNT\system32\ATvuace.exe
O4 - HKLM\..\Run: [5D0B09CE] C:\WINNT\system32\ctSFVIF.exe
O4 - HKCU\..\Run: [SSK Service] C:\WINNT\winssk32.exe<--virus
http://www.liutilities.com/products/wintaskspro/processlibrary/winssk32/
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe <--trojan
http://startup.iamnotageek.com/srch-wuclient.exe.html
O4 - HKCU\..\Run: [9F6367CB] C:\WINNT\system32\ASFAT.exe
O4 - HKCU\..\Run: [9C36E0FE] C:\WINNT\system32\VIFICLIDLL.exe
O4 - HKCU\..\Run: [8D7BD9D3] C:\WINNT\system32\DPASFrows.exe
O4 - HKCU\..\Run: [A0825083] C:\WINNT\system32\l3VPFGof.exe
O4 - HKCU\..\Run: [982C9286] C:\WINNT\system32\LRTKl30.exe
O4 - HKCU\..\Run: [8C135F6B] C:\WINNT\system32\cdrEXTd3di.exe
O4 - HKCU\..\Run: [5D6989DE] C:\WINNT\system32\DSLDLRroi.exe
O4 - HKCU\..\Run: [5168C146] C:\WINNT\system32\ATvuace.exe
O4 - HKCU\..\Run: [5D0B09CE] C:\WINNT\system32\ctSFVIF.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
adware Alexa related (pas très virulent mais à corriger avec Ad-aware SE)
*imprime pour ne pas te tromper, si tu peux
modus operandi :
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)
(screenshot)
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
1) on fait les fix hors connexion tous les programmes fermés
2) on supprime les exe en gras dans (en déployant) : C:-->/-->WInnt-->system32<--ici
à rajouter au fix
C:\WINNT\system32\xpsp2fw.exe<-- trojan
http://startup.iamnotageek.com/srch-xpsp2fw.exe.html
C:\WINNT\system32\ASFAT.exe <--exe inconnu, générée sûrement par un trojan ou virus
à supprimer en mode sans échec, la restauration système désactivée avec l'accès à tous les dossiers système
1) affichez les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>!!coche!! "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> !!décoche!! la case "Masquer les fichiers protégés du système d'exploitation*
2) restauration système :
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
3) mode sans échec :
donne de rapides impulsions dès l'allumage de ton ordi sur la touche F8 (ou F5) déplace-toi avec les flêches et choisit ce mode
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php
4) REACTIVER la restauration système
dans le log
Pour les lignes 04
1) ctrl/alt/supp : arrêter ces processus dans le gestionnaire des tâches
2) repasser sur le log hijack et fixer les lignes
O4 - HKLM\..\Run: [Cgtask Services] C:\WINNT\System32\cgtask.exe<--virus
http://www.liutilities.com/products/wintaskspro/processlibrary/cgtask/
O4 - HKLM\..\Run: [MMtask Service] mmtask.exe
http://startup.iamnotageek.com/srch-Mmtask.exe.html
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [9F6367CB] C:\WINNT\system32\ASFAT.exe
O4 - HKLM\..\Run: [9C36E0FE] C:\WINNT\system32\VIFICLIDLL.exe
O4 - HKLM\..\Run: [8D7BD9D3] C:\WINNT\system32\DPASFrows.exe
O4 - HKLM\..\Run: [A0825083] C:\WINNT\system32\l3VPFGof.exe
O4 - HKLM\..\Run: [982C9286] C:\WINNT\system32\LRTKl30.exe
O4 - HKLM\..\Run: [8C135F6B] C:\WINNT\system32\cdrEXTd3di.exe
O4 - HKLM\..\Run: [5D6989DE] C:\WINNT\system32\DSLDLRroi.exe
O4 - HKLM\..\Run: [5168C146] C:\WINNT\system32\ATvuace.exe
O4 - HKLM\..\Run: [5D0B09CE] C:\WINNT\system32\ctSFVIF.exe
O4 - HKCU\..\Run: [SSK Service] C:\WINNT\winssk32.exe<--virus
http://www.liutilities.com/products/wintaskspro/processlibrary/winssk32/
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe <--trojan
http://startup.iamnotageek.com/srch-wuclient.exe.html
O4 - HKCU\..\Run: [9F6367CB] C:\WINNT\system32\ASFAT.exe
O4 - HKCU\..\Run: [9C36E0FE] C:\WINNT\system32\VIFICLIDLL.exe
O4 - HKCU\..\Run: [8D7BD9D3] C:\WINNT\system32\DPASFrows.exe
O4 - HKCU\..\Run: [A0825083] C:\WINNT\system32\l3VPFGof.exe
O4 - HKCU\..\Run: [982C9286] C:\WINNT\system32\LRTKl30.exe
O4 - HKCU\..\Run: [8C135F6B] C:\WINNT\system32\cdrEXTd3di.exe
O4 - HKCU\..\Run: [5D6989DE] C:\WINNT\system32\DSLDLRroi.exe
O4 - HKCU\..\Run: [5168C146] C:\WINNT\system32\ATvuace.exe
O4 - HKCU\..\Run: [5D0B09CE] C:\WINNT\system32\ctSFVIF.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
adware Alexa related (pas très virulent mais à corriger avec Ad-aware SE)
*imprime pour ne pas te tromper, si tu peux
modus operandi :
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)
(screenshot)
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Salut ma chere Dolly
Heuuuu ......oui j'ai comme qui dirait..... un peu bacler le log??.....
Toi par contre tu lui a rien pardonné.....
Je sors=======================================>>
Heuuuu ......oui j'ai comme qui dirait..... un peu bacler le log??.....
Toi par contre tu lui a rien pardonné.....
Je sors=======================================>>
There's a thin line between Love and Hate....
Merci de votre aide pour nettoyer ces saletés mais le 69sexsearch revient toujours.
Il écrit la ligne 015 - Trusted Zone : http://*.69sexsearch.com
J'ai beau la supprimer, redémarrer, elle revient encore.
Avez-vous une solution pour me débarrasser de cette m....
Un grand merci
Il écrit la ligne 015 - Trusted Zone : http://*.69sexsearch.com
J'ai beau la supprimer, redémarrer, elle revient encore.
Avez-vous une solution pour me débarrasser de cette m....
Un grand merci
salut:
Le problème vient d'Internet Explorer qui laisse s'implanter ces CWS.
Tu te retrouves ensuite déporté sans raison vers des pages d'acceuil non dérirées et ton antispyware ne sait pas les empêcher de revenir !
Le seul truc qui marche à tous les coups: changes de navigateur et télécharges gratuitement Mozilla Firefox qui ne te causeras aucun soucis!
A +
Le problème vient d'Internet Explorer qui laisse s'implanter ces CWS.
Tu te retrouves ensuite déporté sans raison vers des pages d'acceuil non dérirées et ton antispyware ne sait pas les empêcher de revenir !
Le seul truc qui marche à tous les coups: changes de navigateur et télécharges gratuitement Mozilla Firefox qui ne te causeras aucun soucis!
A +
