Sujet Précédent Sujet Suivant

Hijack et silent runner

Résolu/Fermé
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 - 21 avril 2005 à 22:47
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 - 30 avril 2005 à 00:22
bonsoir tout le monde
j'ai fait un hijack et un silent runner par sécurité car mon pc se comporte bizaremment(plantages, déconnexions, travail hors présence, etc...)
quelqu'un peut il me renseigner

merci d'avance
Logfile of HijackThis v1.99.1
Scan saved at 13:02:51, on 21/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\PopTray\PopTray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108670157028
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17237B01-F550-41DA-8D49-1AECC958D548}: NameServer = 217.19.192.131 217.19.192.132
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

silent runner

"Silent Runners.vbs", revision 35, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"KAVPersonal50" = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Labs"]
"NWEReboot" = (no data)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" = "TrojanHunter Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1.2\contmenu.dll" [null data]
"{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "Filzip Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Filzip\fzshext.dll" [empty string]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.

118 réponses

Précédent
Réponse 21 / 118
moe
22 avril 2005 à 21:31
je crois que ca vient de kaspersky, desactive le juste le temps de le telecharger.
si ca marche:
hors connection:
Double clic sur l2mfix.exe pour lancer l'installation.
Ferme tous les programmes en cours (navigateur, players etc...)
double clic sur l2mfix.bat et choisis l'option #1 (et pas autre chose) et valide avec la touche entrée.
1 ou 2 minute après le bloc note va s'ouvrir avec le resultat du scan.
Fais un copier coller du résultat.
Réactive kaspersky et poste le resultat ici.
Pour le l'analyse du résultat, faudra peut etre attendre que balltrap soit dans les parages, car je connais pas bien ce prog.

a+
0
Réponse 22 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 21:34
dis moi je viens d'avoir un malheureux doute!

est ce qu'avant de lancer le scan il aurait pas fallu désactiver la restauration et changer l'affichage des dossiers (j'ai vu sur d'autres questions que tu le conseilles souuvent ???
si c le cas il faut tout recommencer
0
Réponse 23 / 118
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
22 avril 2005 à 21:35
Ball trap me semble avoir anticipé le WE c'est cool.

Jean
0
Réponse 24 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 21:36
merci moe

j'attends pour ce p....n de scan et j'essaie le reste

j'ai un sempron 2400 de base alors tu m'as compris pour la vitesse, le pc est comme le proprio....limité !!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 118
moe
22 avril 2005 à 21:43
pour faire juste un scan, pas besoin de desactiver la restau systeme.
Là, on veut juste savoir s'il y a un virus sur ton pc.
Par contre si ton AV detecte un virus et ne peut pas le virer, il faut mieux le desactiver et relancer l'av, qui bien souvent le supprimera.
En gros pour un scan de verif pas besoin de desactiver et si le scan est positif mais que l'av ne peut pas supprimer, là il faut la desactivée et relancer l'av.

Pour les fichiers cachés, c'est pas grave, surtout utile quand tu dois supprimer les fichiers infectés à la main.

a+
0
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 21:47
merci bien de toutes ces infos

je me sens un peu moins c.n et ca fait plaisir.

a tout '
0
Réponse 26 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 21:50
g désactiv KAV est pareil
sur les deux liens ne trouve pas (plus) le fichier
j'essaierai au prochain redémarrage ????
0
Réponse 27 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 21:58
re
ci joint copie résultat du scan de rav

RAV AntiVirus - Online Virus Scan
Autoclean Inside Archives Unpack executables Smart Scan
Status
Scan started at 22/04/2005 21:24:19
Scanning memory...
Scanning boot sectors...
Scanning files...
Scanned
============================
Objects: 33315
Directories: 2903
Archives: 1326
Size(Kb): 875194
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 234
RAV Engine: 8.11
Virus Signatures: 120994
Last Update: Sunday, April 17, 2005 23:05:15

pour les liens, toujours pareil, que dalle
pour cleanup, tu as un tuyau pour savoir comment configurer avant de lancer ???
0
Réponse 28 / 118
moe
22 avril 2005 à 22:08
je crois qu'il faut aller dans les options et mettre sur standard cleanup
là, tu peux tout cocher sauf les 2 dernieres et tu valide avec ok.
j'ai pas reussi à trouver un tuto en francais, mais seulement en anglais:
http://www.bleepingcomputer.com/forums/tutorial93.html

Pour les liens tu as essayé apres avoir redemarré et desactivé kasp ?
0
Réponse 29 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 22:21
merci pour clenup si tu es sur du coup je vais essayer mais je voudrais pas virer n'importe quoi.
pour kasp tu as raison j'ai redamarré, désactivé, téléchargé et réactivé c bon
je vais lancer l"application et je te fais signe

merci encore
0
Réponse 30 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 22:23
loupé

kasp me l'a viré !!!

objet infecté.
0
Réponse 31 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 22:24
je suis vraiment hyper niais
j'ai encore pas noté le nom du virus ou trojan !!!
0
Réponse 32 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 22:25
je suis vraiment hyper niais
j'ai encore pas noté le nom du virus ou trojan !!!
0
Réponse 33 / 118
moe
22 avril 2005 à 22:25
reactive kav apres le scan de lm2fix
0
Réponse 34 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 22:33
te vexe surtoutpas mais t'es sûr du coup ?
g téléchargé sur les deux sites et kasp me les a viré tous les deux !
0
Réponse 35 / 118
moe
22 avril 2005 à 22:45
oui je m'en doutais un peu, mais kasp tique sur un fichier process.exe.
Apparement beaucoups d'utilisateurs de kav ont eut ce probleme.
Maintenant, tout ce que je peux dire c'est que les sites ou tu l'as telechargés sont ok et lm2fix est utilisé sur tout les forums les plus reputés virus/sécurité.
mais bon si tu as un doute laisse tomber.
On verra demain si balltrap a un prog de secours ;-)

a+
0
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 22:57
merci beaucoup encore une fois et excuse mais je suis novice et peut être un peu trop péteux.

bonne nuit a demain
0
Réponse 36 / 118
moe
22 avril 2005 à 23:02
bah, faut pas t'excuser lol

Je l'ai telechargé et fais analyser chez kav, et c'est vrai que j'ai été surpris du résultat.
Mais apparement en cherchant un peu sur google, seul les utilisateurs de kav ont eut ce probleme.
Peut etre qu'il est un peu trop tatillon sur certains fichiers..

a demain
0
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
22 avril 2005 à 23:42
merci a toi

c toi qui aide tout le monde et en plus je t'embête

t'est vraiment sympa !

bonne nuit

a demain
0
Réponse 37 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 avril 2005 à 00:29
salut
a tous bon pour lm2fix desactive ton antivirus le temp de le telecharger
ensuite deconnecte toi de suite
la ne remet pas ton anti virus et effectue le scan de lm2fix
une fois que tu as le rapport reactive ton anti virus et vient me mettre le rapport
et ne t inquiete pas tu ne risque rien
0
Réponse 38 / 118
After8
23 avril 2005 à 00:36
Alors moi ces gens m'épate! trop fort!
j'admire et leur dit bravo!

sincèrement!

After8
0
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 12:48
t'as raison c des champions

salut balltrap et moe et merci

sur lequel des deux liens je télécharge ?

quant tu dis déconnectess toi tu veux dire me deconnecter d'internet ?

pour le reste j'ai pigé.
0
Réponse 39 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 avril 2005 à 12:54
n importe lequel de lien
oui tu te deconnect une fois que tu la telecharger etant donner que tu as desactiver ton anti virus pour ne rien choper
0
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 13:41
okmerci

tu me précisera aussi stp comment configurer cleanup avant d ela lancer pour pas faire de bourdes ?

j'ai essayé d'aller sur ton site florensac pour jeter un oeil mais je suis coincé sur la page de garde !
0
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 13:48
okmerci

tu me précisera aussi stp comment configurer cleanup avant d ela lancer pour pas faire de bourdes ?

j'ai essayé d'aller sur ton site florensac pour jeter un oeil mais je suis coincé sur la page de garde !
0
Réponse 40 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 avril 2005 à 13:49
comment cela tu est coincer sur la page de garde il faut pointer la souris sur un des elements en bleue et la un menu deroulant defile et tu clik sur se que tu veut
exemple tu passe la souris sur virus et il apparait logiciel de securite tu te met dessus et tu clik

pour clean up laisse le par defaut
0
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 14:06
ben moi je dois avoir une config a la con de moz parce que quand je clik sur virus que dalle
c le blocage des pop-ups ?
la gestion des cookies ?
0

Discussions similaires

Firefox mise à jour message XULrunner Error platform
Frances -
MPMP10 -

1 réponse
Alim suffisante ou pas ?
Rimka -
epango -

12 réponses
XULRunner
leonce -
leonce -

1 réponse
firefox error platform version
puppet44 -
Cl2208 -

16 réponses
impossible d'ouvrir Thunderbird
ciboulette05 -
Brice -

6 réponses