Sujet Précédent Sujet Suivant

Hijack et silent runner

Résolu/Fermé
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 - 21 avril 2005 à 22:47
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 - 30 avril 2005 à 00:22
bonsoir tout le monde
j'ai fait un hijack et un silent runner par sécurité car mon pc se comporte bizaremment(plantages, déconnexions, travail hors présence, etc...)
quelqu'un peut il me renseigner

merci d'avance
Logfile of HijackThis v1.99.1
Scan saved at 13:02:51, on 21/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\PopTray\PopTray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108670157028
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17237B01-F550-41DA-8D49-1AECC958D548}: NameServer = 217.19.192.131 217.19.192.132
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

silent runner

"Silent Runners.vbs", revision 35, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"KAVPersonal50" = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Labs"]
"NWEReboot" = (no data)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" = "TrojanHunter Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1.2\contmenu.dll" [null data]
"{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "Filzip Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Filzip\fzshext.dll" [empty string]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\IZArc\IZArcCM.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.

118 réponses

Précédent
Réponse 61 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 22:54
si je vire c'est par le menu hijack ?

c'est une clé de registre ?

c'est réversible en cas de besoin ?
0
Réponse 62 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 avril 2005 à 22:55
en theorie non
perso je laisse mes option activer je suis le seul a trifouiller dans mon pc
c est interdit pour ma femme et mon fils il peuvent se servir du pc
mais pas de modification non mais lol
0
Réponse 63 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 23:11
y me semblait avoir vu que le hijack créait un backup et qu''on pouvait ensuite faire une manip i on s'était planté non ?
0
Réponse 64 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 avril 2005 à 23:21
oui si il est bien instaler dans son dossier c est a dire exemple
c:hj
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 118
moe
23 avril 2005 à 23:21
hijack fais bien des backups des fix, sauf s'il se trouve dans un repertoire temporaire (dossier temp).
C'est pour ca qu'on precise de le mettre dans un dossier prevu pour.
Pratique tant que le fichier correspondant à la ligne n'a pas été effacé, sinon ca sert pas a grand chose.
Pour faire une backup d'une ligne (ou plusieurs):

lancer hijackthis
clic sur "view the list of Backups"
cocher la ligne qu'on veut restaurer et clic sur restore

a+
0
Réponse 66 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 23:34
salut moe ça va ?
merci bien pour l'info je vais tenter le coup
j'avais peur de virer la clé de registre d'i=un programme de mes fils et de me faire
0
Réponse 67 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 23:37
il manque un bour du mot

la suite c'était

de me faire appeler jules comme on dit
comme ca si je me gourre je restaurerai

des que le scan est fini je le colle(il est particulièrement long j'ai oublié un cd dans le lecteur et il se le tape en entier
je suis toujours aussi c.n et casse c.....es décidemment !
0
Réponse 68 / 118
moe
23 avril 2005 à 23:39
Pourquoi tu as fixé une ligne qui fallait pas ?
0
Réponse 69 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 avril 2005 à 23:40
rassure toi cela marrive souvent aussi
0
Réponse 70 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 23:43
Scanned
============================
Objects: 31088
Directories: 2949
Archives: 2895
Size(Kb): -331381
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 239
Ci joint le scan de rav
fait avec restauration désactivée mais sans changer l'option d'affichage des dossiers et fichiers

dis balltrapp pour lm2fix kav continue de gueuler sur les deux fichiers que je t'ai indiqués plus haut, c'est chiant parce que même s'ils sont sans risques ca s'affiche sans arrêt
si je les vire par contre je serai obligé de les télécharger a nouveau et c'est bête de recommencer
y a pas une solution pour qu'il ll'accepte une fois pour toutes?
et celui dans c volume information restore c le même ?
0
Réponse 71 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 23:45
non non pas encore mais je voulais dire que j'allais essayé de corriger cellle que m'a indiqué balltrap(vois plus haut stp) et que grace au backup je pourrais rectifier si un programme ne fonctinnait plus avec ton système de backups

c bien ca non ?
0
Réponse 72 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 avril 2005 à 23:45
celui de ta restauration ny est plus si tu la desactiver
et vire les fichiers c est pas grave c est rapide a telecharger en cas de besoin
0
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
23 avril 2005 à 23:48
ok merci bien

vous aviez raison avec moe apparemment ca n'est signalé que sous kav

je vous proposerai pas de vous rendre la pareille je suis nul en informatiquemais j'espère pouvoir vous renvoyer l'ascenceur un jour bien que je voie pas comment.

merci encore et bonne soirée
0
Réponse 73 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
23 avril 2005 à 23:50
ho le monde est petit ont cest jamais et si c est pas a nous que tu rend la pareil tu le ferat avec quelqu un d autres d une facon ou l autre c est cela qui s appelle l entraide non lol
0
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
24 avril 2005 à 00:45
bien dit et bien vu
super mentalité ca change de tous les jours

merci encore a tous les deux

bonne nuit a bientôt (malheureusement pour vous !!!)
0
Réponse 74 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
24 avril 2005 à 00:47
bonne nuit a toi aussi
a++++
0
Réponse 75 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
24 avril 2005 à 01:08
re-salut balltrap et moe

pour le hijack j'ai viré la ligne
heureusement que vous m'avez décrit la procédure car c'était celle de commande de poptray
c'est un logiciel qui permet de visionner ses courriels, il va les ouvrir sur les différents serveurs (en texte seul, pas en html)sans les rapatrier sur le pc, ce qui permet de ne pas se faire véroler.
c vrai que la ligne ne comportait rien qui rappelait le nom de poptray

enfin c bon j'ai pu restaurer grace a votre manip

re-bonne nuit
0
Réponse 76 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
24 avril 2005 à 01:14
good night
a++
0
Réponse 77 / 118
franck1nimes Messages postés 253 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 8 mai 2008 12
24 avril 2005 à 20:46
salut a tous

bon apparemment le pb ne vient pas de la ca continue de s'éteindre tout seul sans écran bleu ni message d erreur !
tout a l'heure j'ai réactivé ma sauvegarde et quand j'ai clik sur appliquer rebelotte

j'essaie de changer la config du modem en passant de bulk/iso a bulk sur le sagem f@st800 j'ai lu que pour certains qui avaient ce problème ca marchait

je vous tiens au courant si ca en interesse certains

en tout cas merci a balltrap et moe ce grand nettoyage a fat du bien a mon pc et moi j'ai appris pendant ce temps.
bonne soirée a tous les deux et a tous les autres aussi
a ++
0
Réponse 78 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
24 avril 2005 à 20:48
dur dur lol tient nous au courent
0
Réponse 79 / 118
moe
24 avril 2005 à 20:54
salut

Le probleme viens peut etre d'autre chose. (materiel, ram, pilotes...)
Tu peut aussi essayer de faire ceci:
Panneau de configuration >> systeme >> avancé
Dans demarrage et récupération tu clic sur parametres
dans defaillance du systeme décoche : redemarrer automatiquement
tu valide.
Ca te permettra peut etre d'avoir + d'infos sur la cause possible

a+
0
Réponse 80 / 118
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
24 avril 2005 à 20:56
salut moe
je me trompe ou se week end ont a du mal a leur faire comprendre
0

Discussions similaires

Firefox mise à jour message XULrunner Error platform
Frances -
MPMP10 -

1 réponse
Alim suffisante ou pas ?
Rimka -
epango -

12 réponses
XULRunner
leonce -
leonce -

1 réponse
firefox error platform version
puppet44 -
Cl2208 -

16 réponses
impossible d'ouvrir Thunderbird
ciboulette05 -
Brice -

6 réponses