Probleme aussi avec virus!!
Résolu
figarro
-
figarro -
figarro -
J'Ai aussi un probleme de virus intensif..j'ai fais un peu ec que vous avez dit a d'autres en termes de prog..J'ai ZA pro qui bloc environ 1500 intrusion pas 3 jours... j'Ai downloader Spy sweeper..spywareblaster..spybot S&D et antivirus AVG...mais rien n'Est capable de regler mon prob..
Voici mon log de hijackthis
Logfile of HijackThis v1.99.0
Scan saved at 22:16:25, on 2005-01-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\defragfatx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\divers\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ierecherche.sympatico.ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sympatico.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Service Internet Sympatico
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows Compliant] katmln.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106283094233
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: Domain = sympatico.ca
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: NameServer = 192.168.2.1
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\Imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Aidez moi!!!
merci!!
Voici mon log de hijackthis
Logfile of HijackThis v1.99.0
Scan saved at 22:16:25, on 2005-01-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\defragfatx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\divers\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ierecherche.sympatico.ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sympatico.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Service Internet Sympatico
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows Compliant] katmln.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106283094233
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: Domain = sympatico.ca
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: NameServer = 192.168.2.1
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\Imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Aidez moi!!!
merci!!
A voir également:
- Probleme aussi avec virus!!
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
21 réponses
Salut Figarro.
Redemarre en mode sans echec (tapote F5 ou F8 dès le démarrage de l'odinateur)
Lance HijackThis, coche et fixe les lignes suivantes:
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows Compliant] katmln.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
http://www.sophos.com/virusinfo/analyses/w32rbotir.html
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html
Affiche tous les fichiers et dossiers :
Clique sur démarrer, paramètres, panneau de configuration, option des dossiers, affichage:
Coche "Afficher les fichiers et dossiers cachés"
Décoche "Masquer les extensions dont le type est connu"
Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Valide par "Ok"
Efface les fichiers en gras:
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe
C:\WINDOWS\system32\defragfatx.exe
et vide la corbeille
Redemarre en mode sans echec (tapote F5 ou F8 dès le démarrage de l'odinateur)
Lance HijackThis, coche et fixe les lignes suivantes:
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows Compliant] katmln.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
http://www.sophos.com/virusinfo/analyses/w32rbotir.html
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html
Affiche tous les fichiers et dossiers :
Clique sur démarrer, paramètres, panneau de configuration, option des dossiers, affichage:
Coche "Afficher les fichiers et dossiers cachés"
Décoche "Masquer les extensions dont le type est connu"
Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Valide par "Ok"
Efface les fichiers en gras:
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe
C:\WINDOWS\system32\defragfatx.exe
et vide la corbeille
Salut Richard1
Studio.exe est un Ver (W32/Rbot-TW chez sophos).
Regarde bien le nom de la clef: [Sygate Personal Block]
Rien a voir avec Sygate, et rien a voir avec Winamp.
J'ai mis le lien:
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html
qui décrit ce ver.
Studio.exe est un Ver (W32/Rbot-TW chez sophos).
Regarde bien le nom de la clef: [Sygate Personal Block]
Rien a voir avec Sygate, et rien a voir avec Winamp.
J'ai mis le lien:
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html
qui décrit ce ver.
Salut Balltrap32
Dans les descriptifs de sophos, le dossier system de windows est utilisé pour dire system32 sur NT/2K/XP et system sur 9x/Me.
Et au vu du nombre de clefs et des noms qui n'ont rien à voir, je n'ai plus de doutes.
Dans les descriptifs de sophos, le dossier system de windows est utilisé pour dire system32 sur NT/2K/XP et system sur 9x/Me.
Et au vu du nombre de clefs et des noms qui n'ont rien à voir, je n'ai plus de doutes.
oui j avais pas penser a cela
comme certain editeur anti virus determine bien le dossier c est pour cela que je me suis poser la question
la chasse et le balltrap ma vrai passion
voir site perso dans profil
comme certain editeur anti virus determine bien le dossier c est pour cela que je me suis poser la question
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Oui, moi aussi je me pose souvant la question avec certains descriptifs un peu ambigus. J'utilise parfois les bases des editeurs pour develloper un petit logiciel freeware (TaskBot, sur mon site, a partir du profil) qui compare les processus actifs à une base de donnée. Et souvant je doute sur certaines descriptions.
Un soft qui affiche les processus en cours d'utilisation (genre gestionnaire de tâches amélioré) et qui affiche un descriptifs des process s'il existe dans la base.
style le robot hijack mais avec juste les processus
cela pourrat etre bien utile
mais bonjour le boulot pour tous repertorier
la chasse et le balltrap ma vrai passion
voir site perso dans profil
cela pourrat etre bien utile
mais bonjour le boulot pour tous repertorier
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Salut
dans le genre celui ci est pas mal>>> http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
dans le genre celui ci est pas mal>>> http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
There's a thin line between Love and Hate....
oui, ca m'aide à reperer rapidement un process suspect. Mais cela n'empêche pas un Hijack ou un scan de virus. Juste un outil en plus qui met sur la piste.
(en gestionnaire de tâche amélioré, il y a aussi inxppect qui est bien. complet avec des infos sur la config. mais sans la base de donnée...)
effectivement, la bd est la partie la plus longue et jamais complête...
;-)
(en gestionnaire de tâche amélioré, il y a aussi inxppect qui est bien. complet avec des infos sur la config. mais sans la base de donnée...)
effectivement, la bd est la partie la plus longue et jamais complête...
;-)
je te propose aps certain site pour ta base de donner je suis certain que tu les as deja
la chasse et le balltrap ma vrai passion
voir site perso dans profil
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Salut Wael#,
"Sans la base de donnée", je veux dire par la que j'essaie de donner un descriptif en plus que celui fournit par le fabriquant.
Genre les descriptions fournies par:
http://www.commentcamarche.net/processus/processus.php3
http://www.reger24.de/processes.php
http://www.answersthatwork.com
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.inoculer.com/processus.php3
http://www.eddys-domain.de/XP_Tips/Security/prozesse2.htm
"Sans la base de donnée", je veux dire par la que j'essaie de donner un descriptif en plus que celui fournit par le fabriquant.
Genre les descriptions fournies par:
http://www.commentcamarche.net/processus/processus.php3
http://www.reger24.de/processes.php
http://www.answersthatwork.com
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.inoculer.com/processus.php3
http://www.eddys-domain.de/XP_Tips/Security/prozesse2.htm
http://www.windowsstartup.com/wso/browse.php?l=23&start=250&end=275
la chasse et le balltrap ma vrai passion
voir site perso dans profil
la chasse et le balltrap ma vrai passion
voir site perso dans profil
de rien
tu as aussi celle ci ou tu peut voir si l exe est bon ou mauvais ainsi
que le hachage
http://research.pestpatrol.com/Fileinfo/QueryFileInfo.asp
la chasse et le balltrap ma vrai passion
voir site perso dans profil
tu as aussi celle ci ou tu peut voir si l exe est bon ou mauvais ainsi
que le hachage
http://research.pestpatrol.com/Fileinfo/QueryFileInfo.asp
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Bien celui là,
Je ne connaissais pas cette partie du site avec les sommes MD5. C'est pas très courant. Et sur d'autres sites, elle ne sont pas complètes.
Je ne connaissais pas cette partie du site avec les sommes MD5. C'est pas très courant. Et sur d'autres sites, elle ne sont pas complètes.
Re'
Relance HijackThis, coche et fixe les entrées suivantes:
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
Efface les fichiers suivants:
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe
Pour le reste, ton log est propre, et le firewall bloque les attaques. Bref, il fait son travail.
Relance HijackThis, coche et fixe les entrées suivantes:
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
Efface les fichiers suivants:
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe
Pour le reste, ton log est propre, et le firewall bloque les attaques. Bref, il fait son travail.
Juste comme celà, en passant: En supprimant studio.exe il aura quelques problèmes à faire fonctionner son Winamp...
Peut-être que oui, peut-être que non!!!
C'est juste un commentaire personnel et ça vaut ce que ça vaut.
Bien amicalement
Richard1 (Montréal, Canada)
sophos dit qu il se met dans le dossier systeme et la il est dans le systeme32
je ne sais pas si c est une ommission de sophos ou etant donner que se n est pas le meme emplacement???????????????
gros doute??????
la chasse et le balltrap ma vrai passion
voir site perso dans profil
JE te remercie enormement pour ton aide...j'Ai fais ce que tu m'As dit..j'Espere que cela fonctionnera...
voici mon nouveau log de hijackthis
Logfile of HijackThis v1.99.0
Scan saved at 16:46:12, on 2005-01-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\divers\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ierecherche.sympatico.ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sympatico.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Service Internet Sympatico
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106283094233
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: Domain = sympatico.ca
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: NameServer = 192.168.2.1
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\Imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Si tu vois autre chose que j'aurais du faire..gene toi pas...tu m'aides enormement...
Merci!!!