Jean Peuplus : Hijackthis Résolu/Fermé

Question

Bonjour,
En ADSL depuis des mois, mon portable rame toujours à la lenteur d'une connexion RTC. J'ai passé tous les antivirus possible et les anti-espions, et je trouve régulièrement des r.bots et autres saletés. Je reçois également 30 mails par jour infectés que Bit-defender recale au portillon. Je ne sais plus quoi faire, et ne souhaite pas tout réinstaller. Voici ce que raconte Hijack this aux dernières nouvelles, pouvez-vous m'aider à décrypter et nettoyer ? Merci d'avance.

StartupList report, 26/02/2005, 13:54:38
StartupList version: 1.52.2
Started from : C:\Documents and Settings\FP\Bureau\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MyIE2\MyIE.exe
C:\Documents and Settings\FP\Bureau\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

SpySweeper = "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=sockspy.dll

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\scrnsave.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab

[YInstStarter Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\yinsthelper.dll
CODEBASE = http://download.yahoo.com/dl/installs/yinstc.cab

[EPUImageControl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\EPUWALcontrol.dll
CODEBASE = http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab

[WSDownloader Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\WSDOWN~1.OCX
CODEBASE = http://www.webshots.com/samplers/WSDownloader.ocx

[AvxScanOnline Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\BITDEF~1.OCX
CODEBASE = http://www.bitdefender.com/scan/Msie/bitdefender.cab

[AccountHelper Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\Account.dll
CODEBASE = http://register.tiscali.fr/configurateur/AccountHelper.cab

[InstallShield International Setup Player]
InProcServer32 = c:\windows\DOWNLO~1\isetup.dll
CODEBASE = http://www.installengine.com/engine/isetup.cab

[CRAVOnline Object]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ravonline.dll
CODEBASE = http://www.ravantivirus.com/scan/ravonline.cab

[IEAnimBehaviorFactory Class]
InProcServer32 = C:\PROGRA~1\FICHIE~1\MICROS~1\MSORun\MSORUN.DLL
CODEBASE = http://download.microsoft.com/download/vizact2000/Install/10/WIN98Me/EN-US/msorun.cab

[{BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B}]
CODEBASE = http://www.7adpower.com/dialer/EMSAT.CAB

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[VOGWeb2 Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\VOGWeb2.dll
CODEBASE = http://engine.vogclub.com/activex/vogweb29.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 6 687 bytes
Report generated in 2,343 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Utilisateur anonyme · Answer

b'jour,

ton log n'est pas complet, tu as juste mis la StartupList report (programmes en C:/processus)

tu dois faire :

- Le mettre dans 1 dossier ex: C:\HijackThis
- Le lancer -> Scan -> Save log
- Récupérer ce log/texte avec le bloc-notes.
- Le copier/coller ici

(screenshot)
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

pas de lignes ? :

O18 -
O19 -
O20 -
O22 -
O23 -

juste ça à fixer (cocher)

R3 - Default URLSearchHook is missing

tu peux fixer les 016 sans problèmes, ce ne sont que des activX qui se réimplanteront lors d'une prochaine visite sur ces mêmes URLs

pourquoi tu n'essayes pas un autre navigateur à la place de
C:\Program Files\MyIE2\MyIE.exe ?

style Firefox pour voir si ton surf s'améliore ?

http://www.geckozone.org/articles/2005/01/16/80-guide-d-utilisation-de-firefox-1-0-pour-debutants-partie-4-13

tu gardes ton "sous Internet-Explorer" bien sûr sans problème, plusieurs navigateurs peuvent cohabiter

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

re helpy ;-))

nan!nan! ne vire surtout pas ton MyIE tu en auras besoin pour tes mises à jour chez Microsoft et au cas où tu devrais faire un antivirus online (activX) Firefox ne possède pas d'activX (ça fait 99,9999% de risques virus et spywares en moins )

aucune incompatibilité d'avoir plusieurs navigateurs sur un OS, tu mets juste Firefox comme navigateur par défaut pour empêcher IE de s'ouvrir et c'est tout - Windows est marié à IE : that' life..... ^_^

bon surf! Firefox par contre a besoin de plugins et d'extensions diverses laissés au goût de l'utilisateur pour le configurer "à son image" - tu as la FAQ, les forums, etc etc dédiés et CCM si tu as besoin d'infos supplémentaires

@+ au plaisir

Helpy · Answer

Mince dans un élan d'enthousiasme frisant le délire  j'ai déjà viré MyIE :))))Faut donc que je le récupère ?

Helpy · Answer

Je voulais dire Internet Explorer ne suffit pas ?Sinon, encore merci, aujourd'hui tu as changé ma vie :)))

Utilisateur anonyme · Answer

rhooo! mais arrêtez de virer ce pauvre IE loll

si tu as Internet Explorer c'est ok, tu peux supprimer MyIE, si tu as tout viré c'est plus embêtant vi vi!.....

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

dans ton log on voit bien

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

par contre absence de :
C:\WINDOWS\explorer.exe <-- à vérifier
C:\Program Files\Internet Explorer\iexplore.exe<-- à vérifier

vérifie que tu l'as toujours, que MyIE n'est pas tout emporté avec lui....

Helpy · Answer

Non, de toute façon on ne peut pas virer IE sur Windows XP !!! Sincèrement, dès que je serai un peu plus calée, je passerai à Linux, parce que Windaube, je n'en puis plus :)

Je viens de télécharger Thunderbird, en qqs minutes il a récupéré toute ma config outlook express et mes mess !!! Et pour la 1ère fois, pas un message vérolé lorsque je j'ouvre ma boîte...

Tu sais quoi ? Toi je t'aime :)))))

Merci pour tout...

Utilisateur anonyme · Answer

Loll

si si! on peut le virer IE, XP ou Bidule, ne croit pas ça..

super! tu vires à la totale en quelques minutes FFox + THBird - bravo!

Bienvenue dans le monde de l'Open Source

j'ai fait le même choix que toi, plutôt que de prendre Mozilla (navigateur FFox + courrielleur ThBird) ça dépend des goûts

yipiiiiii!

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Jean Peuplus : Hijackthis

9 réponses

Discussions similaires