Sujet Précédent Sujet Suivant

Interpréter un hijackthis?

Fermé
Flaminio - 27 janv. 2005 à 21:14
 flaminio - 2 févr. 2005 à 22:51
Bonsoir,
suite à un pb sur mon pc, il se connecte seul sur internet à la mise en route à des site de cul. Un ami m'a donné ce logiciel hijack, i lm'a dit de faire un scan mais comme je suis plutôt nul en info, je ne sais pas interpréter le rapport.
Pourriez vous éclairer ma lanterne, car je galère avec cette merde.
Dans le cas où vous répondriez, n'oubliez pas que je suis super novice et que ne j'y connais presque rien. je veux bien apprendre mais par pitié donnez moi des explications claires et précises, je sais c'est chiant, mais je suis super naze en info. J'ai déjà lu des posts précédents où il était question de hijackthis et les réponses sonnaient comme du chinois pour moi bien souvent.
Merci du temps que vous m'accorderez.
Cordialement.

Voici le rapport :

Logfile of HijackThis v1.97.7
Scan saved at 17:23:22, on 27/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\klsuicbn.exe
C:\WINDOWS\System32\msc32.exe
C:\WINDOWS\System32\HP_DeskJet_500.exe
C:\WINDOWS\System32\spvsper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\svchostings.exe
C:\WINDOWS\dimhhs.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\WINDOWS\mmups.exe
C:\WINDOWS\suploads.exe
C:\WINDOWS\System32\spool.exe
C:\WINDOWS\System32\rpc.exe
C:\WINDOWS\System32\spool.exe
C:\WINDOWS\System32\scguard.exe
C:\WINDOWS\system32\defragfat32.exe
C:\WINDOWS\System32\mssams.exe
C:\Program Files\Admilli Service\AdmilliServ.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\Admilli Service\AdmilliKeep.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\Program Files\Trend Micro\Internet Security\pccguide.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\Program Files\Admanager Controller\AdManCtl.exe
C:\Program Files\Admanager Controller\AdManKeep.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\temp\HijackThis.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\Run: [WinAC v4] klsuicbn.exe
O4 - HKLM\..\Run: [Start Upping] svchostings.exe
O4 - HKLM\..\Run: [0BHt] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [Microsoft SYS32 Proticol] sys32.exe
O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe
O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS\suploads.exe
O4 - HKLM\..\Run: [Printer spool Service] spool.exe
O4 - HKLM\..\Run: [0Ô@ÔÁß]­ú"ü‰üžigÝY] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [0ÔÁß]­ú"ü‰üžigÝY] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [NvCplScan] msc32.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [MS Windows Update] scguard.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32.exe
O4 - HKLM\..\Run: [Security Agent Manager] mssams.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\jwltobxu.exe
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁß]­ú"ü‰üžiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\RunServices: [WinAC v4] klsuicbn.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostings.exe
O4 - HKLM\..\RunServices: [Microsoft SYS32 Proticol] sys32.exe
O4 - HKLM\..\RunServices: [Printer spool Service] spool.exe
O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe
O4 - HKLM\..\RunServices: [Security Agent Manager] mssams.exe
O4 - HKLM\..\RunServices: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKCU\..\Run: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\Run: [WinAC v4] klsuicbn.exe
O4 - HKCU\..\Run: [NvCplScan] msc32.exe
O4 - HKCU\..\Run: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKCU\..\Run: [Start Upping] svchostings.exe
O4 - HKCU\..\Run: [Security Agent Manager] mssams.exe
O4 - HKCU\..\RunServices: [Security Agent Manager] mssams.exe
O4 - HKLM\..\RunOnce: [DELDIR0.EXE] "C:\DOCUME~1\Cathy\LOCALS~1\Temp\DELDIR0.EXE" "C:\Program Files\McAfee\McAfee Shared Components\Guardian\"
O4 - HKLM\..\RunOnce: [WinAC v4] klsuicbn.exe
O4 - HKLM\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKLM\..\RunOnce: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\RunOnce: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKCU\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKCU\..\RunOnce: [WinAC v4] klsuicbn.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61706F83-C095-4ABD-9EE0-95BEE4945E9B}: NameServer = 212.27.32.176,212.27.32.177

18 réponses

Réponse 1 / 18
Teddy-Bear Messages postés 758 Date d'inscription mercredi 12 janvier 2005 Statut Membre Dernière intervention 5 mars 2005 91
27 janv. 2005 à 22:23
lol

il y en avait tellement que j ai renoncé a l'analyse avant un bon coup de nettoyage

1
Réponse 2 / 18
andré
27 janv. 2005 à 21:33
slt,

effectivement tu as des lignes qui sont completement ouf! de les 04 je pense mais il vaut mieux que tu consulte qq'un de plus fortiche que moi pour etre sur de pas faire de bétise, si tu veux tu consulter ce que j'ai eu comme blème ca te donnera au moins un apercu du boulot a faire

bonne chance, soit patient qq va t'aider, tu vas t'en sortir
0
Réponse 3 / 18
flaminio
27 janv. 2005 à 21:45
Merci André de ton soutien.
En lisant un autre post, il y avait un lien vers un site pour vérifier mon hijack, or il m'indique qu ema version est trop ancienne. J'ai donc téléchargée la nouvelle, fait un nouveau hijack et voici le nouveau rapport (avec encore plus de truc bizarres).

nouveau rapport :
Logfile of HijackThis v1.99.0
Scan saved at 21:31:29, on 27/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\klsuicbn.exe
C:\WINDOWS\System32\msc32.exe
C:\WINDOWS\System32\HP_DeskJet_500.exe
C:\WINDOWS\System32\spvsper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\svchostings.exe
C:\WINDOWS\dimhhs.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\WINDOWS\mmups.exe
C:\WINDOWS\suploads.exe
C:\WINDOWS\System32\spool.exe
C:\WINDOWS\System32\spool.exe
C:\WINDOWS\System32\rpc.exe
C:\WINDOWS\System32\scguard.exe
C:\WINDOWS\system32\defragfat32.exe
C:\WINDOWS\System32\mssams.exe
C:\Program Files\Admilli Service\AdmilliServ.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\Admilli Service\AdmilliKeep.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\Program Files\Trend Micro\Internet Security\pccguide.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\Program Files\Admanager Controller\AdManCtl.exe
C:\Program Files\Admanager Controller\AdManKeep.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\Run: [WinAC v4] klsuicbn.exe
O4 - HKLM\..\Run: [Start Upping] svchostings.exe
O4 - HKLM\..\Run: [0BHt] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [Microsoft SYS32 Proticol] sys32.exe
O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe
O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS\suploads.exe
O4 - HKLM\..\Run: [Printer spool Service] spool.exe
O4 - HKLM\..\Run: [0Ô@ÔÁß]­ú"ü‰üžigÝY] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [0ÔÁß]­ú"ü‰üžigÝY] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [NvCplScan] msc32.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [MS Windows Update] scguard.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32.exe
O4 - HKLM\..\Run: [Security Agent Manager] mssams.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\jwltobxu.exe
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁß]­ú"ü‰üžiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [delcab] C:\drivers\deltreew.exe C:\cabs
O4 - HKLM\..\RunServices: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\RunServices: [WinAC v4] klsuicbn.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostings.exe
O4 - HKLM\..\RunServices: [Microsoft SYS32 Proticol] sys32.exe
O4 - HKLM\..\RunServices: [Printer spool Service] spool.exe
O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe
O4 - HKLM\..\RunServices: [Security Agent Manager] mssams.exe
O4 - HKLM\..\RunServices: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKLM\..\RunOnce: [DELDIR0.EXE] "C:\DOCUME~1\Cathy\LOCALS~1\Temp\DELDIR0.EXE" "C:\Program Files\McAfee\McAfee Shared Components\Guardian\"
O4 - HKLM\..\RunOnce: [WinAC v4] klsuicbn.exe
O4 - HKLM\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKLM\..\RunOnce: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\Run: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\Run: [WinAC v4] klsuicbn.exe
O4 - HKCU\..\Run: [NvCplScan] msc32.exe
O4 - HKCU\..\Run: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKCU\..\Run: [Start Upping] svchostings.exe
O4 - HKCU\..\Run: [Security Agent Manager] mssams.exe
O4 - HKCU\..\RunServices: [Security Agent Manager] mssams.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\RunOnce: [WinAC v4] klsuicbn.exe
O4 - HKCU\..\RunOnce: [HP Deskjet 500] HP_DeskJet_500.exe
O4 - HKCU\..\RunOnce: [NvCplScan] msc32.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61706F83-C095-4ABD-9EE0-95BEE4945E9B}: NameServer = 212.27.32.176,212.27.32.177
O21 - SSODL: mtklefap - {8A6B9FA4-0686-4870-3F89-C2DCCA90A37B} - C:\WINDOWS\System32\xnsw32.dll
O21 - SSODL: mtklef - {D29EA340-D16C-4DBC-B880-6CA833EA6B33} - C:\WINDOWS\System32\mrly32.dll
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

je suis désolé pour ceui qui a commencé à chercher sur l'ancien rapport,mais merci de votre aide.
Cordialement
0
Réponse 4 / 18
Teddy-Bear Messages postés 758 Date d'inscription mercredi 12 janvier 2005 Statut Membre Dernière intervention 5 mars 2005 91
27 janv. 2005 à 21:55
Bonsoir

Au vu des saletés qui trainent dans ton log

Commence donc a passer un coup de:

Adaware
Spybot

et ensuite refait un log hihjackthis

Refere toi au lien suivant :

http://www.commentcamarche.net/forum/affich-1224271-a-faire-avant-de-poster-un-hijackthis

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
andré
27 janv. 2005 à 22:05
je prefere que tu attendes qq'un de plus compétant que moi, je suis pas asser compétant pour analiser ton log, mais je peux te dire avec certitude qu'il y a des ligne a fixer, as tu lancé ad-aware et adaware away?
0
Réponse 6 / 18
moe
27 janv. 2005 à 22:20
salut flaminio

Pas mal le log!

1- Ouvre ton gestionnaire des taches ctrl+alt+suppr
termine les processus suivant s'ils sont présent:

klsuicbn.exe
msc32.exe
spvsper.exe
svchostings.exe
dimhhs.exe
WebRebates0.exe
mmups.exe
suploads.exe
spool.exe
rpc.exe
scguard.exe
defragfat32.exe
mssams.exe
AdmilliServ.exe
DeskAdServ.exe
AdmilliKeep.exe
AdManCtl.exe
AdManKeep.exe
WebRebates1.exe

2- Ensuite coche et fixe:

R3 - Default URLSearchHook is missing
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\Run: [WinAC v4] klsuicbn.exe
O4 - HKLM\..\Run: [Start Upping] svchostings.exe
O4 - HKLM\..\Run: [0BHt] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [Microsoft SYS32 Proticol] sys32.exe
O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe
O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS\suploads.exe
O4 - HKLM\..\Run: [Printer spool Service] spool.exe
O4 - HKLM\..\Run: [0Ô@ÔÁß]­ú"ü‰üžigÝY] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [0ÔÁß]­ú"ü‰üžigÝY] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\Run: [NvCplScan] msc32.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [MS Windows Update] scguard.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32.exe
O4 - HKLM\..\Run: [Security Agent Manager] mssams.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\jwltobxu.exe
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁß]­ú"ü‰üžiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\dimhhs.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\RunServices: [WinAC v4] klsuicbn.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostings.exe
O4 - HKLM\..\RunServices: [Microsoft SYS32 Proticol] sys32.exe
O4 - HKLM\..\RunServices: [Printer spool Service] spool.exe
O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe
O4 - HKLM\..\RunServices: [Security Agent Manager] mssams.exe
O4 - HKLM\..\RunOnce: [WinAC v4] klsuicbn.exe
O4 - HKLM\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\Run: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\Run: [WinAC v4] klsuicbn.exe
O4 - HKCU\..\Run: [NvCplScan] msc32.exe
O4 - HKCU\..\Run: [Start Upping] svchostings.exe
O4 - HKCU\..\Run: [Security Agent Manager] mssams.exe
O4 - HKCU\..\RunServices: [Security Agent Manager] mssams.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\RunOnce: [WinAC v4] klsuicbn.exe
O4 - HKCU\..\RunOnce: [NvCplScan] msc32.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c18.cab
O21 - SSODL: mtklefap - {8A6B9FA4-0686-4870-3F89-C2DCCA90A37B} - C:\WINDOWS\System32\xnsw32.dll
O21 - SSODL: mtklef - {D29EA340-D16C-4DBC-B880-6CA833EA6B33} - C:\WINDOWS\System32\mrly32.dll
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)


3- Afficher les dossiers cachés et fichiers système:

panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"

4- Recherche les fichiers en gras en suivant le chemin et supprime les:

C:\WINDOWS\System32\klsuicbn.exe
C:\WINDOWS\System32\msc32.exe
C:\WINDOWS\System32\spvsper.exe
C:\WINDOWS\System32\svchostings.exe
C:\WINDOWS\dimhhs.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\WINDOWS\mmups.exe
C:\WINDOWS\suploads.exe
C:\WINDOWS\System32\spool.exe
C:\WINDOWS\System32\rpc.exe
C:\WINDOWS\System32\scguard.exe
C:\WINDOWS\system32\defragfat32.exe
C:\WINDOWS\System32\mssams.exe
C:\WINDOWS\System32\mrly32.dll
C:\WINDOWS\System32\xnsw32.dll

5- Dans C:\Program Files supprime les dossiers suivant

Admilli Service
DeskAd Service
Admanager Controller
Web_Rebates
ISTsvc
180solutions

6- dans C:\WINDOWS\ supprime le dossier:
EliteToolBar

7- Nettoyage du disque:
accessoires > outils système > nettoyage du disque
cocher:
fichiers et programmes téléchargés
fichiers internet temporaires
corbeille
fichier temporaires
valider ok

redemarre et reposte hijack


a+
0
andré
27 janv. 2005 à 22:31
excusez-moi pour cette incursion, je n'ai plus de nouvelle des pros qui m'ont sorti de mon problème, ils sont sans doute occupé, avez vous une idée sur mon dernier log

merci bqp

http://www.commentcamarche.net/forum/affich-1232067-Log-hijackthis-pour-conseils-SVP
0
Teddy-Bear Messages postés 758 Date d'inscription mercredi 12 janvier 2005 Statut Membre Dernière intervention 5 mars 2005 91
27 janv. 2005 à 22:39
Rien de nouveau

Cependant tu pourais installer SP2 et un FIrewall
0
Réponse 7 / 18
flaminio
27 janv. 2005 à 22:38
Merci à teddy-bear et moe pour votre aide.
J'ai déjà passé un coup de spybot et ad-aware avant de faire mon hijack. Pas mal de choses ont dégagées suite à cela, mais pas suffisamment apparament.
Je vais donc suivre la procédure de moe et je vous tiens au courant.
La nuit va être longue je crois car je suis archi naze en info, mais ça avance qd même grâce à vous.
Merci.
Cordialement.
0
Réponse 8 / 18
moe
27 janv. 2005 à 23:22
re

Fais tes mises a jours windows, car certains des trojans que tu as ramassés exploites des failles deja corrigées par crosoft.
Tu peux aussi visiter ces sites:
http://sebsauvage.net/safehex.html
http://assiste.free.fr/p/frameset/01.php
http://gerard.melone.free.fr/IT/IT-AM0.html#5

a+
0
Réponse 9 / 18
flaminio
28 janv. 2005 à 00:07
Bonsoir,
alors j'ai fait tout ce que MOE a préconisé. Seulement, certaines étapes ou opérations n'ont pas été possible d'être menée à bien.

Je précise que ma machine n'est plus connectée à internet donc pas possibilité de rentrer de nouvelles merdes avant d'avoir tout fixé.
Je fait ma réparation à partir d'un second poste qui est bien protégé.
Pour ce qui est de la maj de windows, je suis obligé d'attendre d'avoir tout réparé car j'ai aussi un pb de connexion, mais cela est un autre sujet.

Etape 1 :
impossibilité de stopper les processus suivants (ils se réactivent automatiquement):
AdmilliServ.exe
AdmilliKeep.exe
AdManCtl.exe
AdManKeep.exe

Etape 2 :
impossibilité de fixer certaines lignes (voir nouveau rapport Hijackthis)

Etape 3 :
tout est ok!!!!!

Etape 4 :
Certains fichiers n'ont pu être supprimés pour cause d'utilisation ou d'accès refusé la plupart du temps :

C:\WINDOWS\System32\scguard.exe
C:\WINDOWS\System32\mrly32.dll
C:\WINDOWS\System32\xnsw32.dll

Etape 5 :
certains dossiers ne sont pas présents:
Web_Rebates
ISTsvc
180solutions

Etape 6: okaaaaaaaaaaaay !!!!!!!!!!!!!!!!!!!!!

Etape 7: re okaaaaaaaaaay!!!!!!!!!!!!!!!

Voilà le nouveau rapport :

Logfile of HijackThis v1.99.0
Scan saved at 23:47:37, on 27/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Admilli Service\AdmilliServ.exe
C:\Program Files\Admanager Controller\AdManCtl.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\Admilli Service\AdmilliKeep.exe
C:\Program Files\Admanager Controller\AdManKeep.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{61706F83-C095-4ABD-9EE0-95BEE4945E9B}: NameServer = 212.27.32.176,212.27.32.177
O21 - SSODL: mtklefap - {8A6B9FA4-0686-4870-3F89-C2DCCA90A37B} - C:\WINDOWS\System32\xnsw32.dll
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Ca va déjà mieux, mais y a encore des pbs.
Voila pour ce soir.
Suite au prochain épisode.
Merci encore pour votre précieuse aide.
Cordialement
0
Réponse 10 / 18
moe
28 janv. 2005 à 13:11
salut flaminio

On commence a y voir plus clair maintenant.

Demarre en mode sans echecs (tapote F8 au demarrage)

Affiche les dossiers cachés (dans options des dossiers)

lance hijackthis

Ouvre ton gestionnaire des taches ctrl+alt+suppr
termine les processus suivant s'ils sont présent:

kalvyph32.exe
scguard.exe

coche et fixe:

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe
O21 - SSODL: mtklefap - {8A6B9FA4-0686-4870-3F89-C2DCCA90A37B} - C:\WINDOWS\System32\xnsw32.dll

Recherche et supprime

kalvyph32.exe
scguard.exe
mrly32.dll
xnsw32.dll <-si tu as du mal a virer ces 2 la, essaye en faisant:


demarrer> executer> tape cmd puis fais un copier coller de cette ligne:
regsvr32 /u C:\WINDOWS\System32\xnsw32.dll
ensuite tu supprime xnsw32.dll
puis fais:
regsvr32 /u C:\WINDOWS\System32\mrly32.dll
et tu supprime mrly32.dll

Pour ceux la essaye de voir dans ajout/suppression de programme s'ils sont présent ou supprime le dossier en entier

C:\Program Files\Admilli Service
C:\Program Files\Admanager Controller

celui la:
dans C:\WINDOWS\ trouve et supprime le dossier elitetoolbar

redemarre normalement et reposte un log
Voila, j'espere que se sera suffisant pour virer ces saletés..
0
Flaminio
30 janv. 2005 à 18:16
Bonsoir,
je viens de rentrer de we alors je vais me remettre au travail.
Merci moe de t'occuper de mon cas.
Je fais ce soir tes dernières consignes et fait suivre le log idoine.
Cordialement
0
Réponse 11 / 18
flaminio
30 janv. 2005 à 21:44
Bonsoir,
alors j'ai fait ce que moe a recommander sauf que je n'ai rien compris à la procédure décrite ci dessous :

demarrer> executer> tape cmd puis fais un copier coller de cette ligne:
regsvr32 /u C:\WINDOWS\System32\xnsw32.dll
ensuite tu supprime xnsw32.dll
puis fais:
regsvr32 /u C:\WINDOWS\System32\mrly32.dll
et tu supprime mrly32.dll

de plus ej ne sus pas sûr d'avoir bien demarrer ma machine en mode sans echec.

Suite au log fait, j'ai constaté que ces fichus lignes réaparraissent systématiquement

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe
O21 - SSODL: mtklefap - {8A6B9FA4-0686-4870-3F89-C2DCCA90A37B} - C:\WINDOWS\System32\xnsw32.dll

J'ai beau cocher puis fixer rien à faire, ça veut pas.
Je me suis dit, je vais aller dans la base de registre pour les enlever, j'ai bien trouvé Admanager et AdmilliServ, je les ai supprimé en faisant clic droit+supp puis, j'ai ensuite bien vidé al corbeille et j'ai redemarré ma machine, refait un hijackthis, relog et rebelote, tout le monde est revenu...
Etant un néophyte je ne sais plus comment me débarasser de ces merdes (excusez du mot).
Je post le dernier log, si vous avez des idées, elle sont les bien venues (merci à moe pour son dévouement).

Logfile of HijackThis v1.99.0
Scan saved at 21:30:38, on 30/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Admilli Service\AdmilliServ.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Program Files\Admanager Controller\AdManCtl.exe
C:\Program Files\Admilli Service\AdmilliKeep.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\Program Files\Admanager Controller\AdManKeep.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{61706F83-C095-4ABD-9EE0-95BEE4945E9B}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Bonne nuit à tous et merci.
0
Réponse 12 / 18
moe
30 janv. 2005 à 22:02
salut

laisse tomber la procédure, supprime C:\windows\system32\kalvyph32.exe
ensuite tu regarde dans ajout suppression de programme si tu trouve des entrees concernant Admilli Service ou AdmilliServ.exe,DeskAd Service ou Admanager Controller si oui tu desinstalle

ensuite tu fixe :

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe

et dans C:\WINDOWS tu vire le dossier elitetoolbar

redemarre et refais un scan

a+
0
flaminio
31 janv. 2005 à 21:44
Bonsoir,
alors après une bonne nuit de sommeil je me suis remis à cette satanée lessive.
Moe, j'ai suivi tes dernières indications, il y a du mieux, j'ai enfin réussi à virer Admilliserv et Admanager.
Mais j'ai toujours un gros pb avec kalvyph32.exe car je ne le trouve nul part dans le DD (j'ai pourtant mis les dossiers et fichiers cachés en mode visible). Même avec la fonction recherche, nada. Quant à Elitetoobar, impossible de le virer. J'ai beau supprimer le dossier, il revient toujours de je ne sais où.
Sinon, lorsque je fais un hijack, il me trouve kalvyph32.exe et elitetoolbar, ej coche et je fixe et à ce moment là, j'ai un message bizarre qui apparait :

Hijackthis is about to remove a BHO and the corresponding file from your system. Close all Internet Explorer windows and all windows Explorer windows before continuing for the best chance ofd succcess. OK

Je ne peut rien faire de plus malgré ma bonne volonté.
Merci encore moe de ton aide.
Cordialement

PS : on a bien avancé qd même.
Voici le dernier log fait
Logfile of HijackThis v1.99.0
Scan saved at 21:22:53, on 31/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{61706F83-C095-4ABD-9EE0-95BEE4945E9B}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
0
flaminio
1 févr. 2005 à 12:56
Bonjour,
personne pour m'aidre à terminer am résolution de pb.
MOE t'es où?????? ouinnnnnnnnn!!!!!!!!!!!!
Cordialement
0
moe
1 févr. 2005 à 13:23
salut

essaye ceci alors:

demarre en mode sans echecs(f8 au demarrage)

ensuite lance hijack, mais ne fixe rien pour le moment.

va dans c:\windows\elitetoolbar et supprime EliteToolBar.dll puis supprime le dossier elitetoolbar, (dans cet ordre fichier et apres le dossier)

revient sur hijack et fixe:
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar.dll
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvyph32.exe

redemarre et refais un scan

a+

ps:je repars bosser, à ce soir pour la suite
0
Réponse 13 / 18
vince
1 févr. 2005 à 13:02
je viens me joindre à votre discussion, car j'ai les mêmes soucis. Est-ce que quelqu'un pourrait m'aider? Voici le résultat de mon log Hijack. Merci

Logfile of HijackThis v1.99.0
Scan saved at 19:00:15, on 31/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\WINDOWS\System32\p6.exe
C:\WINDOWS\System32\sghost.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Documents and Settings\vincent wyart\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] sghost.exe
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updates] EXPLORER32.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] sghost.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
O4 - HKCU\..\Run: [Microsoft Update] sghost.exe
O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
0
Réponse 14 / 18
flaminio
1 févr. 2005 à 19:16
Bonsoir MOE,
j'ai un pb avec le passage au mode sans échec. Quand j'appuie sur F8 il passe en mode boot device, puis ensuite je dois choisir parmi 3 options qui semblent correspondrent pour les deux premières au DD ou du moins à une sorte de partition puis pour le dernier choix, il a y écrit "lan".
J'ai essayé avec chaque option, le PC démarre ensuite, mais je ne sais pas si je suis en mode sans échec. Je rappelle que c'est un pc de marque packard bell et que sur la touche F11 si j'appuie dessus, il passe en mode restauration du système. Je ne sais pas quoi faire.
Merci de ton aide.


Pourquoi j'ai pas choisi option machine à coudre mécanique au bac?
0
Réponse 15 / 18
moe
1 févr. 2005 à 19:23
pas de panique !!

tu as sans doute appuyé un peu trop tot sur f8, laisse passer l'ecran noir du bios et ensuite tu appuis sur f8.

regardes ici:
http://assiste.free.fr/p/frameset/comment_ca_marche.php
0
Réponse 16 / 18
flaminio
1 févr. 2005 à 23:02
Alors, j'ai fait exactement ce que tu m'a dit et VICTOIRE !!!!!!!!!!!!!!!!!!!!!!! ça y est, on y est arrivé. J'ai réussi à tout virer.
Un super méga merci à MOE pour son dévouement.
C'est génail de trouver des personnes qui prennent beaucoup de leur temps pour aider les nazes comme moi en informatique.
Par acquis de conscience, je te poste le dernier log fait.
Si c'est ok encore MERCI

Logfile of HijackThis v1.99.0
Scan saved at 22:54:29, on 01/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{61706F83-C095-4ABD-9EE0-95BEE4945E9B}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Bonne nuit les petits ...
0
Réponse 17 / 18
moe
2 févr. 2005 à 12:40
salut flaminio

le log est ok.
je suis vraiment content pour toi.
Reste plus qu'a aller faire un p'tit tour sur windowsupdate.

a+
0
Réponse 18 / 18
flaminio
2 févr. 2005 à 22:51
Salut moe,
merci encore pour ton aide, mais j'ai un autre pb maintenant, impossible de me connecter au net, donc winupdate impossible!!!. Je vas donc mettre un post dans la bonne rubrique.
Cordialement
0

Discussions similaires

probleme de connexion a la banque postale
angie67100 -
MaxGix -

1 réponse
Analyse des logs hijackthis
philnoug -
nayas13 -

35 réponses
Hijackthis pour Android mobile
Sartuplady -
le druide -

3 réponses
Un interprète pour cet hijackthis?
shikoku -
anthony5151 -

64 réponses
interprêté mon hijackthis svp
kevmurray -
plopus -

11 réponses