Hijack et silent runner

Résolu
franck1nimes Messages postés 253 Statut Membre -  
franck1nimes Messages postés 253 Statut Membre -
bonsoir tout le monde
j'ai fait un hijack et un silent runner par sécurité car mon pc se comporte bizaremment(plantages, déconnexions, travail hors présence, etc...)
quelqu'un peut il me renseigner

merci d'avance
Logfile of HijackThis v1.99.1
Scan saved at 13:02:51, on 21/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\PopTray\PopTray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108670157028
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17237B01-F550-41DA-8D49-1AECC958D548}: NameServer = 217.19.192.131 217.19.192.132
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

silent runner

"Silent Runners.vbs", revision 35, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"KAVPersonal50" = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Labs"]
"NWEReboot" = (no data)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" = "TrojanHunter Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1.2\contmenu.dll" [null data]
"{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "Filzip Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Filzip\fzshext.dll" [empty string]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]

Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.
Configuration: sempron amd
xp familial
mozilla suite 1.7.7

118 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Résumé de la discussion

Un utilisateur signale des plantages et déconnexions et recherche des renseignements sur un hijack et un silent runner, en fournissant un log HijackThis détaillé et complet.
Plusieurs éléments de réponse soulignent l'exécution d'outils antivirus et la vérification des éléments de démarrage et des extensions, afin d'identifier et de neutraliser les composants indésirables comme des BHO et DLL.
Des conseils évoquent aussi l'utilisation de sauvegardes et la désactivation temporaire des points de restauration pour faciliter la restauration, l'emploi d'outils comme L2MFIX et la surveillance des indications de Kaspersky Anti-Virus Personal.
En outre, une piste matérielle est évoquée, telle qu'une surchauffe du processeur, qui peut coexister avec des problématiques logicielles et impacter le comportement du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    fait ceci
    telecharge ceci
    http://www.downloads.subratam.org/l2mfix.exe
    decompresse le double clik dessus appuie sur n importe quelle touche et ensuite choisi l option 1
    attend il vas faire un rapport fait un copier coller de celui ci
    ne fait surtout rien d autres
    0
    1. franck1nimes
       
      salut balltrap

      merci beaucoup

      je suis a la bourre mais j'essaie ce soir sans faute

      c'est super sympa merci encore

      bonne journée
      0
  2. franck1nimes Messages postés 253 Statut Membre 12
     
    j'ai essayé en vitesse
    kaspersky me signale un trojan dans temp et dans c
    et lme conseille de les suppprimer
    j'ai fait ca
    par contre le lien ne fonctionne plus en pa'rtie (la fin correspondant au fichier !!!!
    0
  3. franck1nimes Messages postés 253 Statut Membre 12
     
    ca ne trouve plus l2mfix.exe
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. franck1nimes Messages postés 253 Statut Membre 12
     
    idem

    ca me détecte un trojan a deux emplacements
    c:\...\temp 3X1gne8x.exe et
    c:\...\cache.35897d89d01

    ensuite le message

    c:\ nonm du cichier a télépharger) n'a pu être enregistré car vous ne pouvez changerle contenu de ce répertoire
    changez les propriétés de ce répertoire ou essayez d'enregistrer ailleurs

    bizarre - ce répertoire je l'ai intitulé programmes installatiçn e d'habitude iil fonctionne sans pb
    lorsque je clique sur le lien de balltrap ou le tien maintenantn aucun des deux ne trouve le fichier ???
    0
  6. franck1nimes Messages postés 253 Statut Membre 12
     
    pour balltrap et moe

    précision

    ca a réagi exactement pareil sur les deux liens au moment de télécharger, alerte de kaspersky
    0
  7. franck1nimes Messages postés 253 Statut Membre 12
     
    re-re- salut

    excusez moi de vous e.......er encore mais pas possible de télécharger oumême d'accéder a ce fichier, même par recherche google
    en plus, j'ai remarqué que même quand je me pointe au pc et qu'il n'y a personne, il "bosse" tout seul et ca me plait pas trop !

    une suggestion ???

    merci d'avance
    0
  8. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    une idée peut être bette mais as tu essayé de déconnecter temporairement ton anti virus pour telecharger le programme que balltrap t'indique?

    jean
    0
    1. franck1nimes Messages postés 253 Statut Membre 12
       
      non c'est vrai g pas tenté j'ai eu la trouille !
      0
  9. moe
     
    salut

    Sur le hijack, rien n'apparait
    Tu avais fixé des lignes avant de poster?

    Fais un scan ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    ou ici:
    http://housecall.trendmicro.com

    a+
    0
    1. franck1nimes Messages postés 253 Statut Membre 12
       
      non non j'avais rien fait du tout j'ai posté direct

      j'essaie ce que tu me dis
      0
  10. franck1nimes Messages postés 253 Statut Membre 12
     
    excuse moe mais j'y pompe rien

    sur le premier lien ca ne scanne qu'un fichier a la fois

    sur le second j'y comprend rien
    0
  11. franck1nimes Messages postés 253 Statut Membre 12
     
    et sur le silent runner, rien ??
    0
  12. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    de toute façon sur un programme que ball trap ou moe t'indique ta pas de trouille à avoir, c'est du beton moi dans ta situation je tenterai de deconnecter kaperski

    Jean

    Bonsoir moe
    0
  13. moe
     
    salut franck, jean

    Internet explorer est obligatoire pour le scan entier du pc chez rav.
    Si tu surfe avec firefox ou mozilla c'est pas la peine.
    Pour silent runner, apparament rien de concluant (avis perso) et je crois que balltrap doit etre du meme, sinon il ne t'aurait pas fais telecharger lm2fix.

    Fais ton scan avec IE

    a+
    0
    1. franck1nimes Messages postés 253 Statut Membre 12
       
      ok il m'a dit de télécharger lm2 mais vois plus haut, ca me refuse because soit disant trojan signalé par kaspersky sous les deux liens !!!

      je suis sous moz, j'essaie avec IE ton système


      merci moe balltrap et jean

      a tout '
      0
  14. moe
     
    au fait, kasperski te donne quel nom pour le trojan ?
    Toujours le meme ?
    0
    1. franck1nimes Messages postés 253 Statut Membre 12
       
      merde j'ai pas noté
      je suis vraiment trés con !!!
      maintenant il me refile plus rien ca me dit que ca ne trouve pas le fichier sous les deux liens !!
      vraiment bizarre
      0
  15. franck1nimes Messages postés 253 Statut Membre 12
     
    merci moe

    sous IE ca colle

    c parti je te tiens au courant

    pour les liens le tien et celui de balltrap ca marche toujours pas
    0
  16. franck1nimes Messages postés 253 Statut Membre 12
     
    merci moe

    sous IE ca colle

    c parti je te tiens au courant

    pour les liens le tien et celui de balltrap ca marche toujours pas
    0
  17. franck1nimes Messages postés 253 Statut Membre 12
     
    re bonsoir a balltrap

    pour cleanUp, comment le configurer avant de le lancer

    je voudrais pas faire de bourdes et comme mon anglais n'est plus trés récent!

    merci
    0
  18. franck1nimes Messages postés 253 Statut Membre 12
     
    pour moe et balltrap et jean

    le scan est de rav est toujours en cours

    c déjà pas mal mais ca me gonfle de ne pas arriver a télécharger l'autre programme y doit y avoir un bug anormal
    0
  19. franck1nimes Messages postés 253 Statut Membre 12
     
    pour moe et balltrap et jean

    le scan est de rav est toujours en cours

    c déjà pas mal mais ca me gonfle de ne pas arriver a télécharger l'autre programme y doit y avoir un bug anormal
    0
  20. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    laisse tourner le scan dejà et puis on verra

    Jean
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6