Besoin Aide pour HijackThis - Merci d'avance

Question

Bonjour à tous et toutes,Je suis tombée sur ce site qui m'a l'air très sympa. Je trouve que mon pc rame un peu en ce moment, et j'ai fait comme c'était indiqué sur de nombreux post de ce forum une analyse avec ad-aware, a-squared et spybot (après mises à jour). Toutes ces analyses n'ont rien donné et mon pc tourne toujours aussi lentement.Peut-être que vous allez pouvoir m'aider à voir d'où ça vient.Je vous colle donc mon analyse de HijackThis où vous trouverez peut-être le truc qui me ralentit mon pc, car pour moi c'est du chinois.Logfile of HijackThis v1.99.1Scan saved at 02:42:15, on 27/06/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\SYSTEM32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32	cpsvcs.exeC:\WINDOWS\System32\snmp.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exeC:\Program Files\Softwin\BitDefender8\vsserv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeC:\Program Files\Messenger Plus! 3\MsgPlus.exeC:\WINDOWS\Dit.exeC:\PROGRA~1\MESSAG~1\Demon.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Java\jre1.5.0_01\bin\jusched.exeC:\progra~1\softwin\bitdef~1\bdmcon.exeC:\Program Files\Softwin\BitDefender8\bdoesrv.exeC:\progra~1\softwin\bitdef~1\bdnagent.exeC:\Program Files\iTunes\iTunesHelper.exeC:\PROGRA~1\Wanadoo\TaskBarIcon.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exeC:\Program Files\iPod\bin\iPodService.exeC:\WINDOWS\DitExp.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\PROGRA~1\Wanadoo\ALERTM~1.EXEC:\PROGRA~1\Wanadoo\Watch.exeC:\PROGRA~1\INCRED~1\bin\IMApp.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\ANNE-V~1\LOCALS~1\Temp\Rar$EX00.703\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [Dit] Dit.exeO4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exeO4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNCO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckRegO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exeO4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exeO4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exeO4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"O4 - HKLM\..\Run: [PCMService] C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exeO4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\MSOffice\Office10\OSA.EXEO8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htmO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\MSOffice\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin
pjpi150_01.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin
pjpi150_01.dllO9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O15 - Trusted Zone: http://www.hotline-pc.orgO15 - Trusted Zone: http://Download.Windowsupdate.comO15 - Trusted Zone: http://*.Windowsupdate.comO16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cabO16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cabO16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cabO16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cabO16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119826834718O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1119827516156O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cabO16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} (TLIEFlashObj Class) - https://rtc3.webresponse.one.microsoft.com/media/xp/TLIEFlash.CABO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cabO16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cabO16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{B369DFC8-B1C7-45A7-9EB6-91AC8971DF17}: NameServer = 80.10.246.130 80.10.246.3O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exeO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exeO23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exeO23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exeO23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exeJ'espère n'avoir rien oublié.

Canicule:( · Answer

Bonjour,J'ai voulu faire une analyse avec RAV Antivirus pour essayer de voir si mes problèmes venaient d'un virus non detecté par Bitdefender, mais quand je vais sur RAV Antivirus Scan Online et que je clique sur To continue without subscribing click here, j'ai beau attendre quelques minutes, ça ne tourne pas.Donc impossible de savoir comme les autres si j'ai un fichier infecté ou suspicieux.Comment dois-je faire pour pouvoir faire aboutir cette procédure de scan en ligne ?

la gribouille · Answer

Salut!Es-tu sur Internet explorer ? J'ai rencontré ce pb car j'ai changé mon explorer pour mozilla firefox, et avec mozilla, rav anti virus ne fonctionne pas... Peut-être que ton pb vient de là...A  plus et bon courage!

Canicule:( · Answer

Salut BorisBecker,Merci pour l'info, mais je fais comment pour autoriser les contrôles activeX ? Comment je sais si ils sont autorisés ?Je tourne sous Windows XP Edition Familiale - SP 2 à jourEst-ce que le blocage peut venir de mon antivirus ? Bitdefender 8 Professional Plus ?Je patauge... je n'y connais pas grand chose. J'ai bien essayé de faire ce qui était dit dans les autres posts concernant la lenteur du pc et c'est pourquoi je voulais faire un scan de mon pc pour voir si j'avais pas un virus qui n'aurait pas été détecté par mon antivirus.J'ai lu toujours sur ce forum, que le fait de ne pas pouvoir utiliser un antivirus en ligne pouvait venir d'un virus ou malware.  Pour les malwares, c'est bon, j'ai fait l'analyse.Alors si quelqu'un a une autre idée... merci de m'aider.

Canicule:( · Answer

Merci BorisBecker,Effectivement, sur Firefox, ça ne fonctionnait pas, mais sous IE c'est bon ça fonctionne :)Ca c'était pour la bonne nouvelle...Pour la mauvaise, je suis infectée :(Je colle donc le rapport de RAV si quelqu'un peu me donner un petit ou un gros coup de main, ça sera très sympa :)Scan started at 27/06/2005 10:34:04 Scanning memory...Scanning boot sectors...Scanning files...C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> SuspiciousC:\WINDOWS\system32\winhlpp32.exe - Worm:Win32/Gaobot -> InfectedD:\Programmes d'installation personnels\WinRAR.3.40.with.Key.[shareprovider.com].zip->wrar340.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> SuspiciousScanned============================	Objects: 78974	Directories: 5913	Archives: 1911	Size(Kb): -1631983	Infected files: 1Found============================	Viruses found: 1	Suspicious files: 2	Disinfected files: 0	Mail files: 544Car maintenant, avec ça, je ne sais pas quoi faire.Est-ce que je dois refaire un scan en cliquant sur autoclean ?Ou bien dois-je faire autre chose ?Byeeeee

Rumbacampus · Answer

SalutIl existe un outil spécialisé là :http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html@+

Canicule:( · Answer

Merci Rumbacampus,Je viens d'aller sur le lien que tu m'indiques, mais c'est tout en anglais... et je ne sais pas sur quel W32/Gaobot cliquer (il y en a 12...) et j'ose pas cliquer sur le Download Removal Tool car c'est écrit si je comprends bien, qu'il faut lire les instructions avant de faire tourner ce tool. A plus :)

jean38 · Answer

salut,voici pou t'aider:   1. telecharge FxGaobot.exe:      http://securityresponse.symantec.com/avcenter/FxGaobot.exe   2. telecharge le dans un dossier à cet effet.   3.clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer 4) demarre en mode sans echec. Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)5. Double-click the FxGaobot.exe pour demarrarer l'exel.6. Click Start pour demarrer et accepte de faire tourner l'outil      7 redemarre  8 relance FxGaobot.exe une 2) fois 9 retablie ta restauration systeme (meme manip que 1 mais à l'envers)dis nous ou tu en esjean

Canicule:( · Answer

Me revoici...Après opération préconisée par jean38, et le résultat est toujours le même...Quand j'ai fait la manip FXgaobot en mode sans échec et en mode normal, j'ai eu les 2 fois le message comme quoi il n'avait pas trouvé le virus Gaobot.Alors qu'est-ce que je dois faire maintenant ?Voici ma nouvelle analyse de RAVScan started at 27/06/2005 15:06:21 Scanning memory...Scanning boot sectors...Scanning files...C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> SuspiciousC:\WINDOWS\system32\winhlpp32.exe - Worm:Win32/Gaobot -> InfectedD:\Programmes d'installation personnels\WinRAR.3.40.with.Key.[shareprovider.com].zip->wrar340.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> SuspiciousScanned============================	Objects: 78843	Directories: 5895	Archives: 1911	Size(Kb): -1637744	Infected files: 1Found============================	Viruses found: 1	Suspicious files: 2	Disinfected files: 0	Mail files: 545J'attends toujours vos idées géniales pour me débarasser de cette saleté de Gaobot.Et je fais quoi avec mon Poebot ?

jean38 · Answer

Alors, pour le premier,C:\Program Files\WinRAR\Uninstall.exepas d'inquiétude, ce n'est qu'une fausse alerte.pour les autres, refait un log hijack et post le. On va le prendre à revers... HAHAHAjean

Utilisateur anonyme · Answer

Bonjour tout le monde, je rentre dans la conversation pour infos Je tourne sous Windows XP Edition Familiale - SP 2 à jour <--oui! le blocage des activX par défaut vient suite à l'install. du SP2 Est-ce que le blocage peut venir de mon antivirus ? Bitdefender 8 Professional Plus ? <--non (mais attention! peut interférer avec l'AV online - peut détecter des quarantaines virales et induire en erreur) juste comme ça, je laisserais tomber les fix Gaobot, si tu ne connais pas la variante exacte qui infecte ta machine, tu peux créer des conflits C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious <-- faux-positif avec l'exe C:\WINDOWS\system32<-- situé ici\--> à supprimer manuellement et hop! winhlpp32.exe - Worm:Win32/Gaobot -> Infected D:\Programmes d'installation personnels\WinRAR.3.40.with.Key.[shareprovider.com].zip->wrar340.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious veut pas dire infecté <-- idem/faux-positif

Canicule:( · Answer

Re, re,Alors voilà mon dernier rapport Hijackthis...Logfile of HijackThis v1.99.1Scan saved at 17:10:00, on 27/06/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\SYSTEM32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32	cpsvcs.exeC:\WINDOWS\System32\snmp.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeC:\Program Files\Messenger Plus! 3\MsgPlus.exeC:\WINDOWS\Dit.exeC:\PROGRA~1\MESSAG~1\Demon.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Java\jre1.5.0_01\bin\jusched.exeC:\Program Files\Softwin\BitDefender8\bdoesrv.exeC:\progra~1\softwin\bitdef~1\bdnagent.exeC:\Program Files\iTunes\iTunesHelper.exeC:\PROGRA~1\Wanadoo\TaskBarIcon.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\DitExp.exeC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exeC:\PROGRA~1\Wanadoo\Toaster.exeC:\PROGRA~1\Wanadoo\Inactivity.exeC:\PROGRA~1\Wanadoo\PollingModule.exeC:\PROGRA~1\Wanadoo\ALERTM~1.EXEC:\PROGRA~1\Wanadoo\Watch.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exeC:\Program Files\Softwin\BitDefender8\vsserv.exec:\progra~1\softwin\bitdef~1\bdmcon.exeC:\PROGRA~1\INCRED~1\bin\IMApp.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\PROGRA~1\MOZILL~1\FIREFOX.EXEC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\ANNE-V~1\LOCALS~1\Temp\Rar$EX00.828\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [Dit] Dit.exeO4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exeO4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNCO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckRegO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exeO4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exeO4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exeO4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"O4 - HKLM\..\Run: [PCMService] C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exeO4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\MSOffice\Office10\OSA.EXEO8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htmO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\MSOffice\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin
pjpi150_01.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin
pjpi150_01.dllO9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O15 - Trusted Zone: http://www.hotline-pc.orgO15 - Trusted Zone: http://Download.Windowsupdate.comO15 - Trusted Zone: http://*.Windowsupdate.comO16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cabO16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cabO16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cabO16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cabO16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119826834718O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1119827516156O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cabO16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} (TLIEFlashObj Class) - https://rtc3.webresponse.one.microsoft.com/media/xp/TLIEFlash.CABO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cabO16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cabO16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{B369DFC8-B1C7-45A7-9EB6-91AC8971DF17}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exeO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exeO23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exeO23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exeO23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

jean38 · Answer

ok,alors pas de trace dans le log donc tu vas suivre les ocnseils de dolly (galanterie oblige) bien que je t'aurai dit la même chose.1) clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer 2)tu suis le cheminC:\WINDOWS\system32et tu supprimes manuellement l'exe suivant winhlpp32.exe3) vide ta poubelle4)clic droit sur poste de travail propriété restauration systeme décoche desactivé puis appliquer 5) passe un petit coup de clean upet le tours devrait être joué.A touteJean

Canicule:( · Answer

Ok je vais faire ça.Mais encore une question bête : c'est quoi le clean up ? :)

Utilisateur anonyme · Answer

C:\Windows\system32 ? <-- NON! tu supprimes pas le répertoire system32 mais l'exe infectée contenu dans ce fichier à savoir : supprimer : winhlpp32.exe j'avais dis : C:\WINDOWS\system32<-- situé ici\--> à supprimer manuellement et hop! winhlpp32.exe - Worm:Win32/Gaobot -> Infected bon! nan mais! avec les dossiers protégés affichés si tu ne connais pas la manip - je te la donne @+ et recoucou Jean :-] *Devise : Je m'intéresse à l'avenir parceque c'est là que je vais passer le reste de ma vie*

Canicule:( · Answer

C'est bon !J'ai trouvé le clean up chez Balltrapp :)J'avais avant effaçé le fichier winhlpp32.exe, vidé la corbeille.J'ai redémarré mon pc.1ères constatations :- Mon pc se ferme à la vitesse TGV, alors qu'avant il me fallait au moins 5 minutes pour qu'il se ferme.- Redémarrage tout aussi rapide- Navigation : je vais voir immédiatementEn attendant, je fais de gros bisous à tous ceux qui m'ont donné un super coup de main.A charge de revanche (je ne sais pas comment, vu votre niveau), mais si un jour je peux vous aider, je le ferai.Je félicite donc tous les intervenants pour leur disponibilité, leur patience, leurs conseils.Bravo à vous tous

Canicule:( · Answer

J'abuserais bien encore de votre patience :(Voilà, quand je démarre mon pc, j'ai plein de chose qui se charge.Par exemple l'anti-pub, PowerCinema, Contrôleur de calendrier etc... qui en fait ne me sont pas nécessaire régulièrement.Comment puis-je les supprimer du démarrage, sans pour autant perdre ces applications ?Voilà, si vous avez ne serait-ce qu'1 quart de courage encore à ma disposition, je suis preneuse de votre solution.

Utilisateur anonyme · Answer

ton ordi démarrerait 10 fois plus vite aussi si tu virais le max de programmes superflus (par démarrer/exécuter/msconfig) des lignes O4 - HKLM\..\Run:c'est LOURD tout çabon surf - keep cool - ^_^

Canicule:( · Answer

Ok et je fais comment pour les virer ?

Utilisateur anonyme · Answer

- démarrer- exécuter- tape : msconfig /valide ok- onglet : programmes du Démarrage- décoche les cases de  TOUT les programmes ci-dessous (vi! tous lol)O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [Dit] Dit.exeO4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exeO4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNCO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exeO4 - HKLM\..\Run: [PCMService] C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exeO4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe<-- (sauf si tu as une icône de raccourci sur le Bureau et que tu aimes bien bidouiller si non/décoche)O4 - Global Startup: Microsoft Office.lnk = C:/MSOffice\Office10\OSA.EXE- redémarre aussitôt pour appliquer- au reboot et au message de W. de "démarrage sélectif"- coche la case "ne plus afficher ce message"programmes essentiels au démarrage : AV, Firewall, résident d'un Antispywares, Infos FAI c'est tout - le reste est superflutoutafay ^_^

jean38 · Answer

et ben dis donc dolly, on fait le menage je vois... loljean

Utilisateur anonyme · Answer

LOL oui! jean c'est Jour J(etable), je suis toujours étonnée de voir dans les logs Hijack des OS surchargés comme des mulets

S!Ri · Answer

salutle menage par le vide... lolC'est sur que windows va demarrer rapidement.Faut ce qu'il faut.

Utilisateur anonyme · Answer

hello S!Ri

yes! c'est comme une voiture avec ou sans caravane à tracter - là! y'a la caravane.....

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

S!Ri · Answer

;-)

Canicule:( · Answer

Bonsoir vous tous,

Bon, j'ai bien fait le ménage sur mon pc, mais par curiosité, j'ai lancé un Panda ActiveScan qui me trouve 12 spywares et adwares malgré mes netoyages avec Spybot, A-squared et ad-aware.

Je vous colle mon rapport de Panda Activescan et si vous trouvez une solution pour nettoyer ces petites bestioles, je suis preneuse :

Spyware:Spyware/Searchcentrix
No Désinfecté
C:\WINDOWS\System32\IfHelper.dll

Adware:Adware/MyWay
No Désinfecté
Registre Windows

Adware:Adware/Lop
No Désinfecté
C:\Program Files\C2Media

Adware:Adware/FunWeb
No Désinfecté
C:\WINDOWS\Downloaded Program Files\f3initialsetup*

Spyware:Spyware/Searchcentrix
No Désinfecté
C:\WINDOWS\system32\ifhelper.dll

Adware:Adware/WUpd
No Désinfecté
C:\Program Files\windows controlad

Adware:Adware/MyWebSearch
No Désinfecté
Registre Windows

Adware:Adware/WUpd
No Désinfecté
C:\Documents and Settings\Anne-Val\lc2.html

Adware:Adware/PurityScan
No Désinfecté
C:\Hijackthis\hijackthis.zip[backup-20050308-105726-748.inf]

Adware:Adware/MediaTickets
No Désinfecté
C:\Hijackthis\hijackthis.zip[backup-20050308-105726-830.inf]

Adware:Adware/FunWeb
No Désinfecté
C:\WINDOWS\Downloaded Program Files\f3initialsetup1.0.0.8.inf

Spyware:Spyware/Searchcentrix
No Désinfecté
C:\WINDOWS\system32\IfHelper.dll

Alors maintenant, la question qui tue : comment je fais pour virer tout ça ? :)

Je compte sur vous :)

Bonne soirée

Utilisateur anonyme · Answer

salut canicule,pour virer tout cas, je suppose que tu as kazaa; si oui faudra l enlever !msn+ le reinstaller sans les sponsors si tu as aussibye

Utilisateur anonyme · Answer

hello canicule,
hello régis,

je ne pense pas que ce soit la peine de réinstaller Messenger+ ses lignes RO/R1/03 ne sont pas piratées par Lop

(régis où tu vois Kazaa? )

Adware:Adware/MediaTickets
No Désinfecté
C:\Hijackthis\hijackthis.zip[backup-20050308-105726-830.inf] <--c'est la sauvegarde (Backup) du log Hijack/tu peux le supprimer

1) supprime TOUTES les quarantaines dans Spybot et Ad-aware

2) désinstalle/télécharge Spybot et Ad-aware si tu n'as pas les nouvelles versions
* télécharger Ad-aware.SE 1.06/ Spybot.s&d 1.4
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html

3) refait un balayage de ton système (hors connexion!) avec les nouvelles versions

4) Relance Hijack et poste un nouveau log

Tu peux aussi effectuer un scan online chez SpySweeper : le -->
Spy Audit (attention! désigne sans désinfecter)
http://www.webroot.com/fr/index.php

@+

Canicule:( · Answer

Coucou Gégis59 et Dolly.dagger,

Régis,

Je n'ai pas kazaa, ou en tout cas, je ne suis perso jamais allée dessus, mais peut-être mon fils. Comment puis-je savoir si j'ai Kazaa ? En faisant rechercher fichiers, répertoires comportant le mot Kazaa ?

Pour MSN+, j'avais installé la version sans sponsors.

Dolly.dagger,

Je vais faire les manips que tu préconises et je vous tiens au courant de la suite des événements.

Bon appétit.

Utilisateur anonyme · Answer

OUPS EXCUSEZ MOI;
je venais a l instant de me reveiller et je croyais que canicule avait squatter un poste et n avais pas poser d hijack this
toutes mes excuses

ps: bisous ma ptit dolly, ce pseudo en rapport avec ceci?
http://hendrix.free.fr/chansons/dolly.htm

Utilisateur anonyme · Answer

hello régisoui mon pseudo c'est un titre d'Hendrix

Utilisateur anonyme · Answer

ah ok je comprends mieux, je me demandais d ou il venait , j ai donc fait ma ptite recherche ;-)

Besoin Aide pour HijackThis - Merci d'avance

31 réponses

Votre réponse

Discussions similaires

Newsletters