Sujet Précédent Sujet Suivant

Hijak

Fermé
Nini - 22 avril 2005 à 16:05
 Nini - 28 avril 2005 à 19:27
bonjour,
j ai besoin d un petit coup de main svp sur ce log, pouvez vous me dire ce qui a d anormal, a supprimer, car j ai des icones qui apparaissent...enfin tout un tas de probleme, vous pouvez me dire si quelque chose cloche SVP ca serait vraiment tres sympa de votre part, je vous en serez reconnaissant !

Logfile of HijackThis v1.99.1
Scan saved at 14:17:03, on 22/04/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\BinTec Communications\BinTec IPSec Security Client\sshipm.exe
C:\Program Files\BinTec Communications\BinTec IPSec Security Client\sshmonitor.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\mspmspsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\administrateur\Mes documents\PERSO\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://imp3-q.free.fr/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SecondIsoIntraUp] C:\WINDOWS\All Users\Application Data\aboutatomsecondiso\PlanDvd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [FirebirdGuardian] ibguard -a
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ferifos.fr
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020909/qtinstall.info.apple.com/sikes/fr/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{266B0AC9-4AA2-48E0-97C6-0958DBEFCE38}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{3851F496-4279-4DA5-AC16-59BC8299E10D}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{500F19CC-7604-47BB-95FC-D8B8BE98E0B4}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{5AFF942F-FCCB-4336-B9B0-7BBA22CE6F99}: NameServer = 194.57.91.200,194.57.91.201
O17 - HKLM\System\CCS\Services\Tcpip\..\{76D4014C-140C-45D3-A9BB-CE7EBB21514B}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = univ-fcomte.fr
O17 - HKLM\System\CS1\Services\Tcpip\..\{266B0AC9-4AA2-48E0-97C6-0958DBEFCE38}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = univ-fcomte.fr
O17 - HKLM\System\CS2\Services\Tcpip\..\{266B0AC9-4AA2-48E0-97C6-0958DBEFCE38}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = univ-fcomte.fr
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Fonction Commande à distance de Client Access Express (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Firebird Guardian Service (InterBaseGuardian) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe
O23 - Service: SSH Sentinel (SSHIPM) - Unknown owner - C:\Program Files\BinTec Communications\BinTec IPSec Security Client\sshipm.exe" -d (file missing)
O23 - Service: SSH Sentinel Monitor (SSHMONITOR) - Unknown owner - C:\Program Files\BinTec Communications\BinTec IPSec Security Client\sshmonitor.exe

voici le log, en esperant une reponse de votre part, merci bcp si vous prenez la peine de m aider !

10 réponses

Réponse 1 / 10
Nini
22 avril 2005 à 20:46
Personne?
0
Réponse 2 / 10
Nini
22 avril 2005 à 22:08
Excusez moi d insister mais j aimerais juste une simple reponse s il vous plait messieurs !
Sinon bonne soirée a vous
0
Réponse 3 / 10
moe
22 avril 2005 à 22:19
salut nini

A part celle là:
O4 - HKLM\..\Run: [SecondIsoIntraUp] C:\WINDOWS\All Users\Application Data\aboutatomsecondiso\PlanDvd.exe
je vois pas grand chose d'autre.

Tu as désinstallé messenger plus recement ?

a+
0
Réponse 4 / 10
Nini
25 avril 2005 à 18:58
salut moe,oui j ai desintaller msn+... pourquoi cette auestion?
apparemment mon probleme est resolu mais prkoi me pose tu cette question?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
moe
25 avril 2005 à 19:23
salut nini

salut nini

Tu as eu des probs suite à l'install de messenger plus (search bar etc..) ?
Car si tu as accepté les sponsors à l'installation, tu as aussi accepté le spy lop.com.
http://assiste.free.fr/p/internet_attaquants/messenger_plus_lop_com.php
En général, la fais de désinstaller messenger plus n'enleve pas totalement ce spy.

En tout cas pour moi cette ligne y ressemble fortement (nom de dossiers et de fichiers aléatoires).
De plus ce prog est inconnu sur google (PlanDvd.exe).

a+
0
Réponse 6 / 10
Nini
25 avril 2005 à 19:30
ok jte remercie moe, apparemment tout est rentré ds l ordre mais pour lop.com < il se voit dans le hijack ou pas.?
0
Réponse 7 / 10
moe
25 avril 2005 à 19:34
O4 - HKLM\..\Run: [SecondIsoIntraUp] C:\WINDOWS\All Users\Application Data\aboutatomsecondiso\PlanDvd.exe

A moins que tu reconnaisse ce prog ?
Vérifie aussi dans C:\programm files s'il existe un dossier aboutatomsecondiso

a+
0
Réponse 8 / 10
Nini
28 avril 2005 à 17:55
merci moe,
ce fichier aboutatomsecondiso n existe pas !
merci bcp tout a l air d etre rentré dans l ordre, si tu as d autres questions demande moi
merciiiiiiiiiiiiii a+
0
Réponse 9 / 10
moe
28 avril 2005 à 18:14
salut nini

si tout est ok, alors pas de problemes...

a+ et bon surf ;-)
0
Réponse 10 / 10
Nini
28 avril 2005 à 19:27
re moe,
merci a toi, et continue ce que tu fais !!

bye !
0