Analyse d'un log HiJackThis

carmouze Messages postés 20 Statut Membre -  
 Utilisateur anonyme -
Quelqu'un peut-il m'expliquer le log de Hijackthis, svp?
j'ai déjà lancer spybot et adaware en mode sans ehec mais j'ai toujours le virus agent BI.
Merci

16 réponses

  1. carmouze Messages postés 20 Statut Membre
     
    Il s'agit de ce log (pardon pour l'oubli) :

    Logfile of HijackThis v1.99.1
    Scan saved at 17:52:44, on 12/05/2005
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v5.50 (5.50.4134.0600)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\SSDPSRV.EXE
    C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
    C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\WEBSCANX.EXE
    C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\PCTVOICE.EXE
    C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
    C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
    C:\WINDOWS\SYSTEM\QTTASK.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\JAVABD.EXE
    C:\PROGRAM FILES\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
    C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
    C:\WINDOWS\TEMP\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    F1 - win.ini: run=hpfsched
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Class - {86BE00C2-3BD3-D85E-E8BE-7E0910D47ADD} - C:\WINDOWS\SYSTEM\ADDGP32.DLL
    O2 - BHO: GetPostLog module - {C9B0D3DC-DC2B-4a17-8E34-02CD4C1E573F} - C:\WINDOWS\GPL.DLL
    O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
    O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
    O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    O4 - HKLM\..\Run: [JAVABD.EXE] C:\WINDOWS\JAVABD.EXE
    O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~2\CREATECD\CREATECD.EXE -r
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
    O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
    O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\Network Associates\VirusScan\AVSYNMGR.EXE
    O4 - HKLM\..\RunServices: [MSXO32.EXE] C:\WINDOWS\SYSTEM\MSXO32.EXE /s
    O4 - HKLM\..\RunServices: [IEZK32.EXE] C:\WINDOWS\SYSTEM\IEZK32.EXE /s
    O4 - HKLM\..\RunServices: [SDKHC.EXE] C:\WINDOWS\SYSTEM\SDKHC.EXE /s
    O4 - HKLM\..\RunServices: [ATLBB.EXE] C:\WINDOWS\ATLBB.EXE /s
    O4 - HKLM\..\RunServices: [APIYP32.EXE] C:\WINDOWS\SYSTEM\APIYP32.EXE /s
    O4 - HKLM\..\RunServices: [IEMR32.EXE] C:\WINDOWS\IEMR32.EXE /s
    O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE
    O4 - HKCU\..\RunOnce: [CleanUp!] C:\PROGRAM FILES\CLEANUP!\CLEANUP.exe /WindowsRestart
    O4 - HKCU\..\RunServicesOnce: [CleanUp!] C:\PROGRAM FILES\CLEANUP!\CLEANUP.exe /WindowsRestart
    O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
    O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
    O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
    O8 - Extra context menu item: Translate into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmtrans.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    0
  2. carmouze Messages postés 20 Statut Membre
     
    y t il qn qui peut m'aider please?
    0
  3. mistral
     
    fixer les lignes suivantes:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. Cette inscription doit obligatoirement être effacée par Hijackthis.
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. Cette inscription doit obligatoirement être effacée par Hijackthis.
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. Cette inscription doit obligatoirement être effacée par Hijackthis.
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. Cette inscription doit obligatoirement être effacée par Hijackthis.
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. Cette inscription doit obligatoirement être effacée par Hijackthis.
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. Cette inscription doit obligatoirement être effacée par Hijackthis.
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. Cette inscription doit obligatoirement
    R3 - Default URLSearchHook is missing
    Méchant Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné. Il est conseillé d’effacer cette inscription O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    Méchant Added as a result of an unidentified VIRUS!. This iexplore.exe file is located eleswhere rather than in the default Program Files\Internet Explorer folder
    Taux de précision: 6 % (Résultats) Effacer à tout prix
    0
    1. carmouze Messages postés 20 Statut Membre
       
      Désolé mais je suis loin d'etre un pro et donc je comprends pas tout ce tu as marqué avant.
      Fixer = supprimer?
      0
  4. Utilisateur anonyme
     
    salut carmouze

    Il y a pas mal de trucs a virer !!

    Télécharge ces logiciels et met les à jours (important):

    aboutbuster:
    http://www.malwarebytes.biz/index.php?page=downloads
    Pour le mettre à jours:
    clic sur "update"
    puis clic sur "check for update"
    Si une nouvelle version est disponible clic sur "downloaded update"

    CWShredder:
    http://cwshredder.net/bin/CWShredder.exe

    Mais ne les utilisent pas pour l'instant.

    Désactive la restauration systéme.
    - voir la manip ici
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020830091903924

    Lance hijackthis et clic sur "do a system scan only"
    cocher la case au début des lignes suivantes:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\udebw.dll/sp.html#12047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\udebw.dll/sp.html#12047

    R3 - Default URLSearchHook is missing

    O2 - BHO: Class - {86BE00C2-3BD3-D85E-E8BE-7E0910D47ADD} - C:\WINDOWS\SYSTEM\ADDGP32.DLL
    O2 - BHO: GetPostLog module - {C9B0D3DC-DC2B-4a17-8E34-02CD4C1E573F} - C:\WINDOWS\GPL.DLL

    O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    O4 - HKLM\..\Run: [JAVABD.EXE] C:\WINDOWS\JAVABD.EXE
    O4 - HKLM\..\RunServices: [MSXO32.EXE] C:\WINDOWS\SYSTEM\MSXO32.EXE /s
    O4 - HKLM\..\RunServices: [IEZK32.EXE] C:\WINDOWS\SYSTEM\IEZK32.EXE /s
    O4 - HKLM\..\RunServices: [SDKHC.EXE] C:\WINDOWS\SYSTEM\SDKHC.EXE /s
    O4 - HKLM\..\RunServices: [ATLBB.EXE] C:\WINDOWS\ATLBB.EXE /s
    O4 - HKLM\..\RunServices: [APIYP32.EXE] C:\WINDOWS\SYSTEM\APIYP32.EXE /s
    O4 - HKLM\..\RunServices: [IEMR32.EXE] C:\WINDOWS\IEMR32.EXE /s
    O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE

    valider avec [fix checked]

    Redémarre en mode sans échec
    Laisse passer l'écran du bios, puis tapote sur la touche F8.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    Poste de travail >>Outils >> Options des dossiers
    Onglet "Affichage"
    Sous "Fichiers et dossiers cachés", cocher "Afficher les fichiers et dossiers cachés"
    Désélectionner "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Désélectionner "Masquer les extensions des fichiers dont le type est connu"
    Cliquez sur Oui dans la boîte de dialogue qui vous demande confirmation de votre choix.
    Ok
    Démarrer >> Programmes et accessoires >> Explorateur de Windows
    Sélectionner un disque dur dans le volet de gauche
    Sélectionner "Voir tout le contenu de ce disque".

    Rechercher et supprimer si présent:

    C:\WINDOWS\GPL.DLL
    C:\WINDOWS\system\udebw.dll
    C:\WINDOWS\JAVABD.EXE
    C:\WINDOWS\SYSTEM\MSXO32.EXE
    C:\WINDOWS\SYSTEM\IEZK32.EXE
    C:\WINDOWS\SYSTEM\SDKHC.EXE
    C:\WINDOWS\ATLBB.EXE
    C:\WINDOWS\SYSTEM\APIYP32.EXE
    C:\WINDOWS\IEMR32.EXE
    C:\WP.EXE

    Vérifie dans C:\PROGRAM FILES si un de ces dossiers et présent:

    Search Maid
    Virtual Maid
    Security IGuard
    Spyspotter


    et supprime si tu trouve

    Puis passe un coup de cleanup pour supprimer les fichiers temporaires

    ---------------------

    lance aboutbuster (clic sur start)

    ---------------------

    lance cwshredder (clic sur FIX)

    redemarre le pc normallement et repasse aboutbuster une derniere fois

    reposte un hijac
    0
    1. carmouze Messages postés 20 Statut Membre
       
      j'ai fait tout ça, mais antivir m'annonce kil y a encore des virus!
      le dernier Hijzck donne ça :

      Logfile of HijackThis v1.99.1
      Scan saved at 21:47:49, on 12/05/2005
      Platform: Windows ME (Win9x 4.90.3000)
      MSIE: Internet Explorer v5.50 (5.50.4134.0600)

      Running processes:
      C:\WINDOWS\SYSTEM\KERNEL32.DLL
      C:\WINDOWS\SYSTEM\MSGSRV32.EXE
      C:\WINDOWS\SYSTEM\mmtask.tsk
      C:\WINDOWS\SYSTEM\MPREXE.EXE
      C:\WINDOWS\SYSTEM\MSTASK.EXE
      C:\WINDOWS\SYSTEM\SSDPSRV.EXE
      C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
      C:\WINDOWS\SYSTEM\IPJF.EXE
      C:\WINDOWS\SYSTEM\APIHI.EXE
      C:\WINDOWS\EXPLORER.EXE
      C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
      C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\WEBSCANX.EXE
      C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
      C:\WINDOWS\TASKMON.EXE
      C:\WINDOWS\SYSTEM\SYSTRAY.EXE
      C:\WINDOWS\PCTVOICE.EXE
      C:\WINDOWS\SYSTEM\WMIEXE.EXE
      C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
      C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
      C:\WINDOWS\SYSTEM\QTTASK.EXE
      C:\PROGRAM FILES\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
      C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
      C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
      C:\WINDOWS\MSEU32.EXE
      C:\WINDOWS\NOTEPAD.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\WINDOWS\BUREAU\HIJACKTHIS.EXE

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - Default URLSearchHook is missing
      F1 - win.ini: run=hpfsched
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Class - {86BE00C2-3BD3-D85E-E8BE-7E0910D47ADD} - C:\WINDOWS\SYSTEM\ADDGP32.DLL
      O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
      O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
      O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
      O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
      O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
      O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
      O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
      O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
      O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
      O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
      O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
      O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~2\CREATECD\CREATECD.EXE -r
      O4 - HKLM\..\Run: [MSEU32.EXE] C:\WINDOWS\MSEU32.EXE
      O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
      O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
      O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
      O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\Network Associates\VirusScan\AVSYNMGR.EXE
      O4 - HKLM\..\RunServices: [IPJF.EXE] C:\WINDOWS\SYSTEM\IPJF.EXE /s
      O4 - HKLM\..\RunServices: [APIHI.EXE] C:\WINDOWS\SYSTEM\APIHI.EXE /s
      O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
      O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
      O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
      O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
      O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
      O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
      O8 - Extra context menu item: Translate into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmtrans.html
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

      alors, c grave?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    salut moe,
    un tit conseil lol:
    lorsque tu donnes ces manips pr le log hijack prkoi n incorpore tu pas
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe ??

    s avere utilise dans certains cas....ou te e detecte t il antivir?
    0
    1. carmouze Messages postés 20 Statut Membre
       
      j'ai telechargé clean up...
      bon là c la cata, antivir s'excite et me dit qu'il y plein de virus sur C:/windomws et windows/system. D'autre part, j'ai eu un message du firewall comme quoi un intrus voulait rentrer chez moi...c la panique...

      Sinon, en passant spybot, y a tjs DSO Exploit qui revient. ça a un rapport avec le reste?

      Merci
      0
  7. Utilisateur anonyme
     
    Parce que dans son 1er log :
    O4 - HKCU\..\RunOnce: [CleanUp!] C:\PROGRAM FILES\CLEANUP!\CLEANUP.exe /WindowsRestart
    donc juste demandé de passer cleanup, sans préciser le lien lol
    0
  8. Utilisateur anonyme
     
    ah oups, desole mon cher, autant pour moi j avais juste regarder votre detail (qqun qui est deja passer dans les mains de balltrap lol)

    a+
    0
  9. kermadec
     
    Bonjour, je profite de ce topic pour insérer mon propre log hijack.
    En principe, il devrait être bon, j'ai éxécuté suxessivement Ad- aware, Spybot, Schredder et Ccleaner... Tout ça en mode sans échec.

    Voici le log, merci de me signaler d'éventuelle choses à bouger...

    Logfile of HijackThis v1.99.1
    Scan saved at 21:44:02, on 12/05/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\PAVSCHED.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\PASSRV.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\PAVFNSVR.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\PSIMSVC.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\FIREWALL\PAVFIRES.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\PAVPROT9.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\PREVSRV.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\ANVSHELL.EXE
    C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\APVXDWIN.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
    C:\PROGRAM FILES\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
    C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
    C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
    C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER FREE EDITION\PSFREE.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
    C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
    C:\PROGRAM FILES\SCANSUITE\SDETECT.EXE
    C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\SRVLOAD.EXE
    C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\WEBPROXY.EXE
    C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
    C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
    O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Program Files\MediaRing Talk 99\register.exe
    O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
    O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
    O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [PavProc] "C:\Program Files\Fichiers communs\Panda Software\PavShld\PavPrS9x.exe"
    O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavsched.exe"
    O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
    O4 - HKLM\..\RunServices: [PAVFNSVR] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe"
    O4 - HKLM\..\RunServices: [PSIMSVC] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PSIMSVC.exe"
    O4 - HKLM\..\RunServices: [PAVFIRES] C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
    O4 - HKLM\..\RunServices: [Pavprot9] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavprot9.exe"
    O4 - HKLM\..\RunServices: [Panda Preventium+ Service] "C:\PROGRAM FILES\PANDA SOFTWARE\PANDA PLATINUM 2005 INTERNET SECURITY\PREVSRV.EXE"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER FREE EDITION\PSFREE.EXE"
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Scanner Detector.lnk = C:\Program Files\ScanSuite\SDetect.exe

    Merci d'avance pour les réponses futures

    Kermadec.
    0
  10. Utilisateur anonyme
     
    Télécharge stardreck ici:
    http://www.niksoft.at/_data/startdreck.zip

    dezippe le et lance startdreck.exe
    Clic sur config
    clic sur unmarck all

    dans la colonne registry coche:
    - run keys
    - browsers helpers object
    - internet explorer
    - shellServicesObjectDelayLoad


    dans la colonne Files coche:
    - autostart folders

    dans la colonne System/drivers coche:
    - running processes

    Valide ok et clic sur refresh
    Attend quelques secondes.
    Puis, clique sur save pour enregistrer le log.
    poste le resultat du log.
    0
    1. carmouze Messages postés 20 Statut Membre
       
      et moi je fais quoi, je vais craquer...
      0
  11. Utilisateur anonyme
     
    salut,
    1/oui ya des choses a virer
    2/cree ton propre poste pr pas embrouiller celui ci
    3/met le log en entier stp

    a+
    0
    1. carmouze Messages postés 20 Statut Membre
       
      concernant mon problème, c quasiment tjs les mêmes fichiers qui sont nommés par antivir :

      "C:\WINDOWS\SYSVW32.EXE
      Is the Trojan horse TR/Agent.BI

      The file has been blocked."
      0
  12. Utilisateur anonyme
     
    salut carmouze

    Combiens de fichiers il detecte ?
    tu as lu le post 12 ?
    0
    1. carmouze Messages postés 20 Statut Membre
       
      j'applique le post 12?

      à chaque fois que j'ouvre une fenetre par exemple antivir m'envoie le message que j'ai posté tout à l'heure
      0
      1. Utilisateur anonyme > carmouze Messages postés 20 Statut Membre
         
        Bon, laise tomber le post 12 pour l'instant

        Redemarre en mode sans echecs (important)

        le nom du fichier des lignes R1 et R0 risque d'avoir changé une fois en mode sans echecs, il faudra que tu note son nom et que tu coche et fixe les lignes correspondantes dans hijack

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047

        R3 - Default URLSearchHook is missing

        O2 - BHO: Class - {86BE00C2-3BD3-D85E-E8BE-7E0910D47ADD} - C:\WINDOWS\SYSTEM\ADDGP32.DLL
        O4 - HKLM\..\Run: [MSEU32.EXE] C:\WINDOWS\MSEU32.EXE
        O4 - HKLM\..\RunServices: [IPJF.EXE] C:\WINDOWS\SYSTEM\IPJF.EXE /s
        O4 - HKLM\..\RunServices: [APIHI.EXE] C:\WINDOWS\SYSTEM\APIHI.EXE /s

        supprime:

        C:\WINDOWS\system\hgfmb.dll + celui que tu as noté
        C:\WINDOWS\SYSTEM\ADDGP32.DLL
        C:\WINDOWS\SYSTEM\APIHI.EXE
        C:\WINDOWS\SYSTEM\IPJF.EXE
        C:\WINDOWS\MSEU32.EXE

        lance about buster 2 fois
        lance cwshreder
        lance ton antivirus

        redemarre normallement et reposte un hijack

        je dois arreter pour ce soir, je repasse demain

        a+
        0
      2. carmouze Messages postés 20 Statut Membre > Utilisateur anonyme
         
        j'ai fait tout ça et ça marche tjs pas

        Logfile of HijackThis v1.99.1
        Scan saved at 23:31:02, on 12/05/2005
        Platform: Windows ME (Win9x 4.90.3000)
        MSIE: Internet Explorer v5.50 (5.50.4134.0600)

        Running processes:
        C:\WINDOWS\SYSTEM\KERNEL32.DLL
        C:\WINDOWS\SYSTEM\MSGSRV32.EXE
        C:\WINDOWS\SYSTEM\mmtask.tsk
        C:\WINDOWS\SYSTEM\MPREXE.EXE
        C:\WINDOWS\SYSTEM\MSTASK.EXE
        C:\WINDOWS\SYSTEM\SSDPSRV.EXE
        C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
        C:\WINDOWS\EXPLORER.EXE
        C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
        C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\WEBSCANX.EXE
        C:\PROGRAM FILES\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
        C:\WINDOWS\TASKMON.EXE
        C:\WINDOWS\SYSTEM\SYSTRAY.EXE
        C:\WINDOWS\PCTVOICE.EXE
        C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
        C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
        C:\WINDOWS\SYSTEM\QTTASK.EXE
        C:\PROGRAM FILES\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
        C:\WINDOWS\MFCCX32.EXE
        C:\WINDOWS\SYSTEM\WMIEXE.EXE
        C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
        C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
        C:\HIJACKTHIS\HIJACKTHIS.EXE

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\hgfmb.dll/sp.html#12047
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        R3 - Default URLSearchHook is missing
        F1 - win.ini: run=hpfsched
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
        O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
        O2 - BHO: Class - {86BE00C2-3BD3-D85E-E8BE-7E0910D47ADD} - C:\WINDOWS\SYSTEM\ADDGP32.DLL
        O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
        O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
        O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
        O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
        O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
        O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
        O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
        O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
        O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
        O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
        O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
        O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
        O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
        O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
        O4 - HKLM\..\Run: [MFCCX32.EXE] C:\WINDOWS\MFCCX32.EXE
        O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~2\CREATECD\CREATECD.EXE -r
        O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
        O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
        O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
        O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\Network Associates\VirusScan\AVSYNMGR.EXE
        O4 - HKLM\..\RunServices: [SYSVW32.EXE] C:\WINDOWS\SYSVW32.EXE /s
        O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
        O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
        O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
        O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
        O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
        O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
        O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
        O8 - Extra context menu item: Translate into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmtrans.html
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
        O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
        O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
        O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
        0
  13. nass
     
    Salut tout le monde...

    je viens de lire le post et j'ai un souci avec mon PC. J'ai chopé un trojan "XXX", et je ne trouve pas la soluce pour supprimer le fichier source, de plus AD-awar me découvre un spy, il le supprime mais ce salaud d'espion reviens toujours meme sans me connecter au net....
    J'ai scanné mon pc avec hijack this, et voici mon log :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:20:02, on 12/05/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
    C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SYSTEM32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\D-Tools\daemon.exe
    C:\SFP\app\bin\sfp.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
    C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\utilitaires\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qfind.net/bar/index.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.qfind.net/search.php?qq=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {8E16E56B-F2DD-4746-885B-CAB12DE7D505} - C:\WINDOWS\System32\onfa.dll (file missing)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    j'ai repéré plusieur choses anormales, mais étant donné que mes connaissance sur le systeme informatique sont limitées, je voudrais un avis sur les ligne à fixer et sur la procedure pour que la désinfection soit complète.

    d'avance merci et à bientôt.

    NassNoise
    0
  14. Utilisateur anonyme
     
    salut carmouze

    pas facile...

    Télécharge stardreck ici:
    http://www.niksoft.at/_data/startdreck.zip

    dezippe le et lance startdreck.exe
    Clic sur config
    clic sur unmarck all

    dans la colonne registry coche:
    - run keys
    - browsers helpers object
    - internet explorer
    - shellServicesObjectDelayLoad

    dans la colonne Files coche:
    - autostart folders

    dans la colonne System/drivers coche:
    - running processes

    Valide ok et clic sur refresh
    Attend quelques secondes.
    Puis, clique sur save pour enregistrer le log.
    poste le resultat du log
    et nouveau log hijackthis

    a+
    0
    1. carmouze Messages postés 20 Statut Membre
       
      j'arrive pas installer stardrek. y a pas un autre site où le télécharger?
      0
  15. Utilisateur anonyme
     
    salut

    dsl le lien a changé:
    http://www.niksoft.at/php/dl.php?f=startdreck.zip

    a+
    0
    1. carmouze Messages postés 20 Statut Membre
       
      ça ne change rien, quand je dzippe et que je lance l'application, j'ai un message d'erreur m'indiquant qu'il manque un .dll alors qu'il est dans la liste!!!
      0
  16. Utilisateur anonyme
     
    bon on va essayer de faire sans, en fait c'est juste pour vérifier une chose, on va le faire à la main:

    ouvre l'editeur de registre demarrer >> executer tape regedit ou regedit.exe
    rend toi sur cette clé:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    et note les entrees de la fenetre de droite
    0
    1. carmouze Messages postés 20 Statut Membre
       
      le fichier s'appelle defaut et sur l'icone du fichier c marqué ab
      0
  17. Utilisateur anonyme
     
    rien de ce coté là
    scanne avec ton av et note le chemin des fichiers infecté et reposte un hijack + le resultat du scan de ton av

    a+
    0