Log hijackthis
Aonghas
-
GomJabbar Messages postés 1327 Statut Contributeur -
GomJabbar Messages postés 1327 Statut Contributeur -
J'ai déjà nettoyé pas mal de trucs mais je suis toujours infecté. Pouvez-vous m'indiquer ce qui ne va toujours pas ? C'est normal d'avoir un explorer.EXE au lieu d'un explorer.exe ? merci !
Logfile of HijackThis v1.99.1
Scan saved at 11:30:25, on 15/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\dwwin.exe
C:\PROGRA~1\NORTON~1\NORTON~1\QServer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Aonghas\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\Program Files\Wanadoo\backup\CnxMon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Bhznahjn] C:\Program Files\Lqmaurc\Xtiuamh.exe
O4 - HKLM\..\Run: [Nero] C:\WINDOWS\nerocheck.exe /i
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitezhf32.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitesxo32.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\RECYCLER\NPROTECT\00103322.exe
O8 - Extra context menu item: Save Flash by &GetFlash - C:\PROGRA~1\GetFlash\getflash.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{72779C7B-7D73-47DB-AEF1-55F885EF84B5}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)
Logfile of HijackThis v1.99.1
Scan saved at 11:30:25, on 15/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\dwwin.exe
C:\PROGRA~1\NORTON~1\NORTON~1\QServer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Aonghas\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\Program Files\Wanadoo\backup\CnxMon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Bhznahjn] C:\Program Files\Lqmaurc\Xtiuamh.exe
O4 - HKLM\..\Run: [Nero] C:\WINDOWS\nerocheck.exe /i
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitezhf32.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitesxo32.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\RECYCLER\NPROTECT\00103322.exe
O8 - Extra context menu item: Save Flash by &GetFlash - C:\PROGRA~1\GetFlash\getflash.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{72779C7B-7D73-47DB-AEF1-55F885EF84B5}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)
A voir également:
- Log hijackthis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Vpn no log - Guide
- View rescue log traduction - Guide
- Log freebox - Forum Freebox
- Log crash windows - Guide
2 réponses
Salut aonghas,
Pas de bonjour?
Attention, tu es très en retard dans les mises à jours de Windows et d'Internet Explorer.
Pour Windows
Pack SP1
http://www.microsoft.com/france/WINDOWS/xp/info/info.asp?mar=/france/WINDOWS/xp/home/telecharge/info/20020905-SP1Commande.html
ou mieux, Pack SP2
http://www.microsoft.com/france/windows/xp/sp2/default.mspx
Pour Internet Explorer
http://www.microsoft.com/windows/ie_intl/fr/download/default.mspx
Cela permettra de corriger de nombreuses failles de sécurité
Dans l'attente d'une réponse à ta question, tu peux déjà évaluer ton log ici :
http://hijackthis.de/fr
Mais surtout, ne fixe rien sans avis sérieux...
Tu peux aussi commencer par faire un peu de ménage en suivant les conseils exposés là:
http://www.commentcamarche.net/faq/484-Virus-et-Malwares-le-truc-pour-les-%E9liminer
Tu peux aussi lire :
http://sebsauvage.net/safehex.html
http://assiste.free.fr/p/pages_diverses/la_manip.php
Bon courage
Pas de bonjour?
Attention, tu es très en retard dans les mises à jours de Windows et d'Internet Explorer.
Pour Windows
Pack SP1
http://www.microsoft.com/france/WINDOWS/xp/info/info.asp?mar=/france/WINDOWS/xp/home/telecharge/info/20020905-SP1Commande.html
ou mieux, Pack SP2
http://www.microsoft.com/france/windows/xp/sp2/default.mspx
Pour Internet Explorer
http://www.microsoft.com/windows/ie_intl/fr/download/default.mspx
Cela permettra de corriger de nombreuses failles de sécurité
Dans l'attente d'une réponse à ta question, tu peux déjà évaluer ton log ici :
http://hijackthis.de/fr
Mais surtout, ne fixe rien sans avis sérieux...
Tu peux aussi commencer par faire un peu de ménage en suivant les conseils exposés là:
http://www.commentcamarche.net/faq/484-Virus-et-Malwares-le-truc-pour-les-%E9liminer
Tu peux aussi lire :
http://sebsauvage.net/safehex.html
http://assiste.free.fr/p/pages_diverses/la_manip.php
Bon courage
Bonjour,
après redémarrage en mode sans échec, tu termines le processus :
C:\WINDOWS\System32\ap9h4qmo.exe
C:\Program Files\Media Access\MediaAccK.exe (sous réserves)
C:\Program Files\Media Access\MediaAccess.exe (sous réserves)
C:\WINDOWS\System32\dwwin.exe (correspond à Dr Watson, processus appartenant à Windows qui a tendance à s'emballer et ne soigne rien)
Puis tu peux fixer :
O4 - HKLM\..\Run: [Bhznahjn] C:\Program Files\Lqmaurc\Xtiuamh.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitezhf32.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitesxo32.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
Au rayon bizarre mais sans certitude de malveillance :
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
Au rayon incongru :
O4 - Startup: UltimateZip Quick Start.lnk = C:\RECYCLER\NPROTECT\00103322.exe (s'exécute depuis la poubelle, semble être le résultat d'une détection par Norton)
Au rayon inutile :
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Nero] C:\WINDOWS\nerocheck.exe /i
Au rayon question :
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe (à n'utiliser que si la carte mère supporte la technologie hyper threading)
Une fois le fix effectué, tu supprimes le dossier :
C:\Program Files\Lqmaurc\Xtiuamh.exe
et éventuellement :
C:\Program Files\Media Access\MediaAccK.exe
Enfin, redémarrage en mode normal.
P.S. : le log ne mentionne pas de firewall (normal si tu utilises celui de Windows). Tu pourrais en installer un vrai.
P.S. 2 : pour bénéficier d'un log sauvegardé susceptible d'être restauré, il faut que Hijackthis soit dans un dossier lui appartenant (par exemple C:\Hijackthis)
A+
après redémarrage en mode sans échec, tu termines le processus :
C:\WINDOWS\System32\ap9h4qmo.exe
C:\Program Files\Media Access\MediaAccK.exe (sous réserves)
C:\Program Files\Media Access\MediaAccess.exe (sous réserves)
C:\WINDOWS\System32\dwwin.exe (correspond à Dr Watson, processus appartenant à Windows qui a tendance à s'emballer et ne soigne rien)
Puis tu peux fixer :
O4 - HKLM\..\Run: [Bhznahjn] C:\Program Files\Lqmaurc\Xtiuamh.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitezhf32.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitesxo32.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
Au rayon bizarre mais sans certitude de malveillance :
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
Au rayon incongru :
O4 - Startup: UltimateZip Quick Start.lnk = C:\RECYCLER\NPROTECT\00103322.exe (s'exécute depuis la poubelle, semble être le résultat d'une détection par Norton)
Au rayon inutile :
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Nero] C:\WINDOWS\nerocheck.exe /i
Au rayon question :
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe (à n'utiliser que si la carte mère supporte la technologie hyper threading)
Une fois le fix effectué, tu supprimes le dossier :
C:\Program Files\Lqmaurc\Xtiuamh.exe
et éventuellement :
C:\Program Files\Media Access\MediaAccK.exe
Enfin, redémarrage en mode normal.
P.S. : le log ne mentionne pas de firewall (normal si tu utilises celui de Windows). Tu pourrais en installer un vrai.
P.S. 2 : pour bénéficier d'un log sauvegardé susceptible d'être restauré, il faut que Hijackthis soit dans un dossier lui appartenant (par exemple C:\Hijackthis)
A+
