Analyse de log HJT / Trojan-Spy.Win32.Qukart
llombis
Messages postés
28
Statut
Membre
-
llombis Messages postés 28 Statut Membre -
llombis Messages postés 28 Statut Membre -
Bonjour à tous !
Je vois que HJT a beaucoup de succès et est une bonne alternative dans le cas d'un échec avec les anti virus/spyware/autres.
* je vous expose mon pb que j'ai résolu mais qui peut servir à d'autre ;)
voilà, j'ai attrapé quelques crasses sur le net...
Kaspersky (version 4) m'a trouvé ça:
Trojan-Downloader.JS.Small.al et Trojan-Clicker.JS.Linker.f et Backdoor.Win32.Rbot.gen.
Comme Kasper n'a pas été capable de nettoyer correctement, j'ai recherché sur le net des antidotes et j'ai trouvé ScanSpyware v3.8.0.4. capable d'enlever la backdoor.
J'ai scanné le pc avec ScanSpyware v3.8.0.4 qui m'a bien enlevé la backdoor.(par contre j'ai vu sur un forum que Scan Spyware est susceptible d'être un spy lui-même, votre avis
la dessus svp)
Conclusion : c'est ok pour ce pb.
* Maintenant j'aurais besoin de votre aide pour analyser un log de HiJackThis.
Logfile of HijackThis v1.99.0
Scan saved at 23:01:07, on 10/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\BulletProofSoft.com\SpywareRemover\spyware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\GIANT Company Software\GIANT AntiSpyware\GIANTAntiSpywareMain.exe
C:\Program Files\_HiJackThis_199\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [rfK\LHMZUXPLIM_KLP] C:\WINDOWS\System32\bfpuovrfa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EzAgent] C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\Program Files\SPYWARE BEGONE\freescan.exe -FastScan
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADFB482A-B3E5-4AA3-A511-5A923EE272AD}: NameServer = 212.27.32.176 212.27.39.1
O21 - SSODL: mtklef - {31E38F86-F5BD-4247-38B4-E3B74509D18C} - C:\WINDOWS\System32\mzgbu32.dll (file missing)
O23 - Service: ADSLAutoconnect - Unknown - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: AVP Control Centre Service - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
1) que pensez vous de :
des lignes 02 ?
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
...
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
de la ligne 04 ?
O4 - HKCU\..\Run: [Spyware Begone] C:\Program Files\SPYWARE BEGONE\freescan.exe -FastScan
-----> [prog que j'ai désinstallé mais qui laisse cette trace...]
C:\Program Files\BulletProofSoft.com\SpywareRemover\spyware.exe --> à mon avis c'est lui qui met la bazare entre autre.
des lignes 016, 017, 021 ?
à propos de la ligne 021 Kaspersky m'a trouvé cela :
Process : explorer.exe\mzgbu32.dll Infected Trojan-Spy.Win32.Qukart.s
le pb c'est qu'il n'arrive pas à le désinfecter ni le supprimer...
* Pour finir avec mon long post que pensez vous de ces anti spyware ?
j'ai lu que c'était de très bons progs.
GIANT AntiSpyware version 1.0.301
Aluria Spyware Eliminator 3.0
PS: le scan de HJT a été fait en étant connecté à Internet.
j'ai lu dans plusieurs post qu'il fallait mieux être off line pour le faire.
je l'ai fait off line et j'ai obtenu le même log sans les programmes
ADSL Autoconnect.exe, emule.exe ...
PS2: je tiens à vous préciser que ce n'est pas mon pc mais celui de mon beau frère c'est pour cela que IE, Kaspersky 4 et Zone Alarm sont installés (personnellement j'opterais pour Firefox et Kaspersky 5 et Kerio 4)
Merci
à bientôt :)
++
Je vois que HJT a beaucoup de succès et est une bonne alternative dans le cas d'un échec avec les anti virus/spyware/autres.
* je vous expose mon pb que j'ai résolu mais qui peut servir à d'autre ;)
voilà, j'ai attrapé quelques crasses sur le net...
Kaspersky (version 4) m'a trouvé ça:
Trojan-Downloader.JS.Small.al et Trojan-Clicker.JS.Linker.f et Backdoor.Win32.Rbot.gen.
Comme Kasper n'a pas été capable de nettoyer correctement, j'ai recherché sur le net des antidotes et j'ai trouvé ScanSpyware v3.8.0.4. capable d'enlever la backdoor.
J'ai scanné le pc avec ScanSpyware v3.8.0.4 qui m'a bien enlevé la backdoor.(par contre j'ai vu sur un forum que Scan Spyware est susceptible d'être un spy lui-même, votre avis
la dessus svp)
Conclusion : c'est ok pour ce pb.
* Maintenant j'aurais besoin de votre aide pour analyser un log de HiJackThis.
Logfile of HijackThis v1.99.0
Scan saved at 23:01:07, on 10/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\BulletProofSoft.com\SpywareRemover\spyware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\GIANT Company Software\GIANT AntiSpyware\GIANTAntiSpywareMain.exe
C:\Program Files\_HiJackThis_199\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [rfK\LHMZUXPLIM_KLP] C:\WINDOWS\System32\bfpuovrfa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EzAgent] C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\Program Files\SPYWARE BEGONE\freescan.exe -FastScan
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADFB482A-B3E5-4AA3-A511-5A923EE272AD}: NameServer = 212.27.32.176 212.27.39.1
O21 - SSODL: mtklef - {31E38F86-F5BD-4247-38B4-E3B74509D18C} - C:\WINDOWS\System32\mzgbu32.dll (file missing)
O23 - Service: ADSLAutoconnect - Unknown - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: AVP Control Centre Service - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
1) que pensez vous de :
des lignes 02 ?
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
...
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
de la ligne 04 ?
O4 - HKCU\..\Run: [Spyware Begone] C:\Program Files\SPYWARE BEGONE\freescan.exe -FastScan
-----> [prog que j'ai désinstallé mais qui laisse cette trace...]
C:\Program Files\BulletProofSoft.com\SpywareRemover\spyware.exe --> à mon avis c'est lui qui met la bazare entre autre.
des lignes 016, 017, 021 ?
à propos de la ligne 021 Kaspersky m'a trouvé cela :
Process : explorer.exe\mzgbu32.dll Infected Trojan-Spy.Win32.Qukart.s
le pb c'est qu'il n'arrive pas à le désinfecter ni le supprimer...
* Pour finir avec mon long post que pensez vous de ces anti spyware ?
j'ai lu que c'était de très bons progs.
GIANT AntiSpyware version 1.0.301
Aluria Spyware Eliminator 3.0
PS: le scan de HJT a été fait en étant connecté à Internet.
j'ai lu dans plusieurs post qu'il fallait mieux être off line pour le faire.
je l'ai fait off line et j'ai obtenu le même log sans les programmes
ADSL Autoconnect.exe, emule.exe ...
PS2: je tiens à vous préciser que ce n'est pas mon pc mais celui de mon beau frère c'est pour cela que IE, Kaspersky 4 et Zone Alarm sont installés (personnellement j'opterais pour Firefox et Kaspersky 5 et Kerio 4)
Merci
à bientôt :)
++
A voir également:
- Analyse de log HJT / Trojan-Spy.Win32.Qukart
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Échec de l'analyse antivirus. ✓ - Forum Antivirus
- Analyse performance pc - Guide
- Nouveau tag analysé - Forum Huawei
2 réponses
salut
tu peux fixer celles-ci:
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\RunServices: [rfK\LHMZUXPLIM_KLP] C:\WINDOWS\System32\bfpuovrfa.exe
O4 - HKCU\..\Run: [Spyware Begone] C:\Program Files\SPYWARE BEGONE\freescan.exe -FastScan
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O21 - SSODL: mtklef - {31E38F86-F5BD-4247-38B4-E3B74509D18C} - C:\WINDOWS\System32\mzgbu32.dll (file missing)
et supprimer en mode sans echec :
C:\WINDOWS\System32\bfpuovrfa.exe
mzgbu32.dll <= supprime la, si ton av ne peut pas
C:\Program Files\SPYWARE BEGONE <= supprime le dossier si désinstallé
Pour scan spyware et spyware remover regarde ici:
http://assiste.free.fr/p/faux_utilitaires/scan_spyware_scanspyware.php
http://assiste.free.fr/p/faux_utilitaires/spyware_remover.php
A mon avis, il vaut mieux desinstaller.
a+
tu peux fixer celles-ci:
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\RunServices: [rfK\LHMZUXPLIM_KLP] C:\WINDOWS\System32\bfpuovrfa.exe
O4 - HKCU\..\Run: [Spyware Begone] C:\Program Files\SPYWARE BEGONE\freescan.exe -FastScan
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O21 - SSODL: mtklef - {31E38F86-F5BD-4247-38B4-E3B74509D18C} - C:\WINDOWS\System32\mzgbu32.dll (file missing)
et supprimer en mode sans echec :
C:\WINDOWS\System32\bfpuovrfa.exe
mzgbu32.dll <= supprime la, si ton av ne peut pas
C:\Program Files\SPYWARE BEGONE <= supprime le dossier si désinstallé
Pour scan spyware et spyware remover regarde ici:
http://assiste.free.fr/p/faux_utilitaires/scan_spyware_scanspyware.php
http://assiste.free.fr/p/faux_utilitaires/spyware_remover.php
A mon avis, il vaut mieux desinstaller.
a+
OK moe merci : :)
J'ai suivi les instructions que tu m'as donné et ça a l'air clean.
En mode sans echec je n'ai pas trouvé :
==================================
C:\WINDOWS\System32\bfpuovrfa.exe
mzgbu32.dll
C:\Program iles\SPYWARE BEGONE
==================================
J'ai retrouvé une ligne correspondant à Spyware Begone dans la liste de démarrage msconfig.
J'ai recherché la chaîne correspondante dans la base de registre (RegCleaner étant incapable de me la donner ...) et je l'ai effacée.
Tout à l'air OK
merci a+
J'ai suivi les instructions que tu m'as donné et ça a l'air clean.
En mode sans echec je n'ai pas trouvé :
==================================
C:\WINDOWS\System32\bfpuovrfa.exe
mzgbu32.dll
C:\Program iles\SPYWARE BEGONE
==================================
J'ai retrouvé une ligne correspondant à Spyware Begone dans la liste de démarrage msconfig.
J'ai recherché la chaîne correspondante dans la base de registre (RegCleaner étant incapable de me la donner ...) et je l'ai effacée.
Tout à l'air OK
merci a+
