[hijackthis] demande d'aide hijackthi.log

Résolu
fcduo -  
fcduo Messages postés 273 Statut Membre -
Bonjour,
Merci par avance de me conseiler sur la manip à propos du hijackthis.log ci-dessous. J'ai testé CWShredder et Ad-Aware, sans succès, j'ai Microsoft Antispyware Beta 1 qui me bloque l'installation de about blank en page de défaut Internet, mais le virus est toujours là!
Je suis bien allé au fin fond des registres Windows, mais là, j'hésite à aller plus loin ! Encore merci de votre aide.
Logfile of HijackThis v1.99.1
Scan saved at 10:52:19, on 12/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NavNT\DefWatch.exe
C:\WINDOWS\System32\NALNTSRV.EXE
C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
C:\PROGRA~1\NavNT\rtvscan.exe
C:\WINDOWS\System32\wm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ntxd.exe
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINDOWS\System32\ltmsg.exe
C:\WINDOWS\System32\BESCH.EXE
C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\appgf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CommonTime\Cadenza\CdzSvc.exe
C:\Program Files\CommonTime\Cadenza\cadenza.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\documents and Settings\ebax178\My Documents\PERSO\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {9B442A67-4BF8-9AC9-9912-E5D9A99FE86D} - C:\WINDOWS\system32\winpl32.dll
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [BackupExecScheduler] BESCH.EXE
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [Verif Symantec NAV8] "C:\Program Files\Schneider integration\VerifNAV.vbs"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [appgf.exe] C:\WINDOWS\system32\appgf.exe
O4 - HKLM\..\RunOnce: [ntxd.exe] C:\WINDOWS\ntxd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Cadenza] C:\Program Files\CommonTime\Cadenza\CdzSvc.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: winupdate21638985[1].exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C470E718-6117-11D7-A1AC-0002A5269C35} (CreditClient.ControlInactif) - file://D:\DOCUME~1\ebax178\LOCALS~1\Temp\CreditClient.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Compagnon) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com
O17 - HKLM\Software\..\Telephony: DomainName = fr.schneider-electric.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 139.160.77.13 139.160.111.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 139.160.77.13 139.160.111.43
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crks.exe" /s (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\NavNT\DefWatch.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINDOWS\System32\NALNTSRV.EXE
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NavNT\rtvscan.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\BIN\ONRSD.EXE
O23 - Service: ReplService - Unknown owner - C:\Program Files\Trilogy\ReplService\repl.exe
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINDOWS\System32\wm.exe
A voir également:

8 réponses

Réponse 1 / 8
petit-pere Messages postés 148 Statut Membre 11
 
bonjour ......

c koi le pb?
un rapide coup d'oeil au log ne renseigne aucun pb .........
0
Réponse 2 / 8
fcduo Messages postés 273 Statut Membre 16
 
Ben, je vois au moins cette ligne
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
Peut être d'autres, j'y connais pas assez...
0
Réponse 3 / 8
petit-pere Messages postés 148 Statut Membre 11
 
..... cette ligne fait que la page de démarrage de IE est about:blank, càd rien ... aucune page n'est chargée par défaut au démarrage d'IE .........................
0
Réponse 4 / 8
fcduo Messages postés 273 Statut Membre 16
 
C'est ce qu'on pourrait croire!
J'arrive sur des sites à la c.., tant de viagra, porno, vente d'anti virus, etc...(pop up "only the best").D'ailleurs Microsoft Antispyware me le trouve, l'élimine, mais il revient au boot...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
fcduo Messages postés 273 Statut Membre 16
 
En complément,en bas de page IE il y a Quick Web Search....
0
Réponse 6 / 8
fcduo Messages postés 273 Statut Membre 16
 
Salut les caîds de l'info !
J'ai chargé CWShredder, Spybotsd, Spywareblaster (en suivant "la manip" de l'excellent site Assiste.com), viré le bandeau Yahoo.
Spybotsd me félicite de ne plus avoir de mouchard, mais j'ai tjrs ma page par défaut de IE qui est "about:blank" avec Quick Web Search (impossible de remettre une autre page par défaut, celle-ci revient).
Je joins mon nouveau hijachthis.log.
Y a t il somebody to help me ?
Merci encore !

Logfile of HijackThis v1.99.1
Scan saved at 09:40:33, on 13/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NavNT\DefWatch.exe
C:\WINDOWS\System32\NALNTSRV.EXE
C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
C:\PROGRA~1\NavNT\rtvscan.exe
C:\WINDOWS\System32\wm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mfcrg.exe
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINDOWS\System32\ltmsg.exe
C:\WINDOWS\System32\BESCH.EXE
C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\mfcnn.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CommonTime\Cadenza\CdzSvc.exe
C:\Program Files\CommonTime\Cadenza\cadenza.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\AT&T Global Network Client\NetClient.exe
D:\documents and Settings\ebax178\My Documents\PERSO\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\geyby.dll/sp.html#14044
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\geyby.dll/sp.html#14044
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pic.fr.schneider-electric.com:1959/data/proxy.pac
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {9B442A67-4BF8-9AC9-9912-E5D9A99FE86D} - C:\WINDOWS\system32\winpl32.dll
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [BackupExecScheduler] BESCH.EXE
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [Verif Symantec NAV8] "C:\Program Files\Schneider integration\VerifNAV.vbs"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [mfcnn.exe] C:\WINDOWS\system32\mfcnn.exe
O4 - HKLM\..\RunOnce: [mfcrg.exe] C:\WINDOWS\system32\mfcrg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Cadenza] C:\Program Files\CommonTime\Cadenza\CdzSvc.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [NetSP - restore database] "C:\Program Files\AT&T Global Network Client\NetSP.exe" -show
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: winupdate21638985[1].exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C470E718-6117-11D7-A1AC-0002A5269C35} (CreditClient.ControlInactif) - file://D:\DOCUME~1\ebax178\LOCALS~1\Temp\CreditClient.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com
O17 - HKLM\Software\..\Telephony: DomainName = fr.schneider-electric.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{116C0743-BFC3-48ED-B11A-19E8AC390D3B}: Domain = fr.schneider-electric.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{116C0743-BFC3-48ED-B11A-19E8AC390D3B}: NameServer = 139.160.77.13,10.195.20.30
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fr.schneider-electric.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 139.160.77.13 139.160.111.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fr.schneider-electric.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 139.160.77.13 139.160.111.43
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crks.exe" /s (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\NavNT\DefWatch.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINDOWS\System32\NALNTSRV.EXE
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NavNT\rtvscan.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\BIN\ONRSD.EXE
O23 - Service: ReplService - Unknown owner - C:\Program Files\Trilogy\ReplService\repl.exe
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINDOWS\System32\wm.exe
0
Réponse 7 / 8
Furtif Messages postés 9956 Statut Contributeur 929
 
Bonjour

Ne pas oublier de désactiver la restauration automatique quand on fait du nettoyage, sinon, ça revient ...
0
fcduo Messages postés 273 Statut Membre 16
 
Merci, mais ça c'était déjà fait !
Par contre, j'ai entendu parlé de "démarrage sans échec". C'est quoi?
0
Réponse 8 / 8
fcduo Messages postés 273 Statut Membre 16
 
ok pour le démarrage sans échec.
J'ai suivi la manip de kea dans le forum sur le pb de démarrage (358 échanges!).
Effectivement, plus de about blank, mais un autre pb.
J'ouvre une autre question...
T'chao.
0

Discussions similaires

Analyse des logs hijackthis
philnoug -
nayas13 -

35 réponses
Demande d'aide pour un Log Hijackthis
Lord_Astriel -
Utilisateur anonyme -

32 réponses
spywar
stephane74 -
stephane74 -

4 réponses
Processus et démarrage
baptcollot -
baptcollot -

4 réponses
Hijackthis log besoin d'aide svp
noname2018 -
noname2018 -

14 réponses