AU secour hijack méchant
aurélie
-
aurélie -
aurélie -
Bonnjour a tous
je viens de faire un hijack et j'ai découvert un nombre impressionant de truc a fixé.
Mais sur le site http://www.hijackthis.de/fr
cetain apparaisse avec des point d'intéérogation
je sais pas si je dois les éffacé
aiddez moi svp
voici mon hijack
Logfile of HijackThis v1.99.1
Scan saved at 11:37:00, on 30/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\dfrgfat16.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\pc\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 204.9.190.180 onlineaccounts2.abbeynational.co.uk
O1 - Hosts: 204.9.190.180 www3.aibgbonline.co.uk
O1 - Hosts: 204.9.190.180 www.bank.alliance-leicester.co.uk
O1 - Hosts: 204.9.190.180 login.iblogin.com
O1 - Hosts: 204.9.190.180 ww2.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 204.9.190.180 inet.barclays.co.uk
O1 - Hosts: 204.9.190.180 iibank.barclays.co.uk
O1 - Hosts: 204.9.190.180 iibank.cahoot.com
O1 - Hosts: 204.9.190.180 www3.coventrybuildingsociety.co.uk
O1 - Hosts: 204.9.190.180 ww.hsbc.co.uk
O1 - Hosts: 204.9.190.180 login.ebank.offshore.hsbc.co.je
O1 - Hosts: 204.9.190.180 ww3.online-offshore.lloydstsb.com
O1 - Hosts: 204.9.190.180 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 204.9.190.180 ww3.online.lloydstsb.co.uk
O1 - Hosts: 204.9.190.180 ob2.nationet.com
O1 - Hosts: 204.9.190.180 ww3.onlinebanking.natwestoffshore.com
O1 - Hosts: 204.9.190.180 ww1.nwolb.com
O1 - Hosts: 204.9.190.180 ww1.onlinebanking.iombank.com
O1 - Hosts: 204.9.190.180 ww1.www.rbsdigital.com
O1 - Hosts: 204.9.190.180 welcome.smile.co.uk
O1 - Hosts: 204.9.190.180 login.365online.com
O1 - Hosts: 204.9.190.180 wvw.citizensbankonline.com
O1 - Hosts: 204.9.190.180 esecure.regionsnet.com
O1 - Hosts: 204.9.190.180 rollb.associatedbank.com
O1 - Hosts: 204.9.190.180 upb.unionplanters.com
O1 - Hosts: 204.9.190.180 www.onlinebanking.huntington.com
O1 - Hosts: 204.9.190.180 inet.southtrustonlinebanking.com
O1 - Hosts: 204.9.190.180 logon.personal.wamu.com
O1 - Hosts: 204.9.190.180 login.compassweb.com
O1 - Hosts: 204.9.190.180 logon.firstmeritib.com
O1 - Hosts: 204.9.190.180 login.ccfcuonline.org
O1 - Hosts: 204.9.190.180 ww3.etimebanker.bankofthewest.com
O1 - Hosts: 204.9.190.180 www.onlinebanking.lasallebank.com
O1 - Hosts: 204.9.190.180 wvw.totallyfreebanking.com
O1 - Hosts: 204.9.190.180 www.online.wellsfargo.com
O1 - Hosts: 204.9.190.180 ww2.onlinebanking.bankofoklahoma.com
O1 - Hosts: 204.9.190.180 accounts4.keybank.com
O1 - Hosts: 204.9.190.180 logon.bankone.com
O1 - Hosts: 204.9.190.180 www.secure.tdbanknorth.com
O1 - Hosts: 204.9.190.180 www.secure.mvnt4.com
O1 - Hosts: 204.9.190.180 ww.mynfbonline.com
O1 - Hosts: 204.9.190.180 login.forumcuonline.com
O1 - Hosts: 204.9.190.180 www.eds.usersonlnet.com
O1 - Hosts: 204.9.190.180 www.onlineid.bankofamerica.com
O1 - Hosts: 204.9.190.180 wvw.e-gold.com
O1 - Hosts: 204.9.190.180 pcbs.peoples.com
O1 - Hosts: 204.9.190.180 www.global1.onlinebank.com
O1 - Hosts: 204.9.190.180 ww2.mybranch.lafcu.com
O1 - Hosts: 204.9.190.180 login.webbanking.comerica.com
O1 - Hosts: 204.9.190.180 web.banking.firsttennessee.com
O1 - Hosts: 204.9.190.180 logon.members1st.org
O1 - Hosts: 204.9.190.180 www.cib.ibanking-services.com
O1 - Hosts: 204.9.190.180 www.miwebbusbank.ebanking-services.com
O1 - Hosts: 204.9.190.180 wvw.paypal.com
O1 - Hosts: 204.9.190.180 www.signin.ebay.com
O1 - Hosts: 204.9.190.180 www.bvi.bancodevalencia.es
O1 - Hosts: 204.9.190.180 extrant.banesto.es
O1 - Hosts: 204.9.190.180 banesnt.banesto.es
O1 - Hosts: 204.9.190.180 activia.caixagalicia.es
O1 - Hosts: 204.9.190.180 www.bancae.caixapenedes.com
O1 - Hosts: 204.9.190.180 login.caixasabadell.net
O1 - Hosts: 204.9.190.180 oii.cajamadrid.es
O1 - Hosts: 204.9.190.180 login.cajamar.es
O1 - Hosts: 204.9.190.180 login.ccm.es
O1 - Hosts: 204.9.190.180 ww.unicaja.es
O1 - Hosts: 204.9.190.180 ww.bayernlb.de
O1 - Hosts: 204.9.190.180 ww2.berliner-volksbank.de
O1 - Hosts: 204.9.190.180 ww7.homebanking-berlin.de
O1 - Hosts: 204.9.190.180 portal09.commerzbanking.de
O1 - Hosts: 204.9.190.180 www.onlinebanking.huntington.com
O1 - Hosts: 204.9.190.180 www.meine.deutsche-bank.de
O1 - Hosts: 204.9.190.180 ww2.dresdner-privat.de
O1 - Hosts: 204.9.190.180 ww.e-banking.helaba.de
O1 - Hosts: 204.9.190.180 ww.hsh-nordbank.de
O1 - Hosts: 204.9.190.180 www.my.hypovereinsbank.de
O1 - Hosts: 204.9.190.180 ww3.homebanking-berlin.de
O1 - Hosts: 204.9.190.180 www.banking.lbbw.de
O1 - Hosts: 204.9.190.180 lrp.sparkasse-banking.de
O1 - Hosts: 204.9.190.180 ww3.homebanking-niedersachsen.de
O1 - Hosts: 204.9.190.180 www.onlinebanking.norisbank.de
O1 - Hosts: 204.9.190.180 www.banking.postbank.de
O1 - Hosts: 204.9.190.180 ww.bics.fr
O1 - Hosts: 204.9.190.180 www.co.caixabank.fr
O1 - Hosts: 204.9.190.180 ww.creditmutuel.fr
O1 - Hosts: 204.9.190.180 internetbank.intesabci.it
O1 - Hosts: 204.9.190.180 ww.extensive.bancalombarda.it
O1 - Hosts: 204.9.190.180 wvw.csebanking.it
O1 - Hosts: 204.9.190.180 www.mybank.bybank.it
O1 - Hosts: 204.9.190.180 ww.isideonline.it
O1 - Hosts: 204.9.190.180 ww3.sella.it
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVWLPSTA.EXE] AVWLPSTA.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [x] x.exe
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\Run: [KYM Control Settings] phqghum.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Netbios Helper] C:\WINDOWS\System32\nbthlp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [x] x.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\RunServices: [KYM Control Settings] phqghum.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [Microsoft Media player 9] msmedia32.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKCU\..\Run: [KYM Control Settings] phqghum.EXE
O4 - HKCU\..\Run: [Compaq Service Drivers] wincmd.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] wincmd.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O23 - Service: Managing FAT and NTFS partitions (Defragmentation Manager) - Unknown owner - C:\WINDOWS\System32\dfrgfat16.exe
O23 - Service: Microsoft Registry Viewer (dumpreg) - Unknown owner - C:\WINDOWS\dumpreg.exe (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Nvc\BIN\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
je viens de faire un hijack et j'ai découvert un nombre impressionant de truc a fixé.
Mais sur le site http://www.hijackthis.de/fr
cetain apparaisse avec des point d'intéérogation
je sais pas si je dois les éffacé
aiddez moi svp
voici mon hijack
Logfile of HijackThis v1.99.1
Scan saved at 11:37:00, on 30/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\dfrgfat16.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\pc\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 204.9.190.180 onlineaccounts2.abbeynational.co.uk
O1 - Hosts: 204.9.190.180 www3.aibgbonline.co.uk
O1 - Hosts: 204.9.190.180 www.bank.alliance-leicester.co.uk
O1 - Hosts: 204.9.190.180 login.iblogin.com
O1 - Hosts: 204.9.190.180 ww2.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 204.9.190.180 inet.barclays.co.uk
O1 - Hosts: 204.9.190.180 iibank.barclays.co.uk
O1 - Hosts: 204.9.190.180 iibank.cahoot.com
O1 - Hosts: 204.9.190.180 www3.coventrybuildingsociety.co.uk
O1 - Hosts: 204.9.190.180 ww.hsbc.co.uk
O1 - Hosts: 204.9.190.180 login.ebank.offshore.hsbc.co.je
O1 - Hosts: 204.9.190.180 ww3.online-offshore.lloydstsb.com
O1 - Hosts: 204.9.190.180 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 204.9.190.180 ww3.online.lloydstsb.co.uk
O1 - Hosts: 204.9.190.180 ob2.nationet.com
O1 - Hosts: 204.9.190.180 ww3.onlinebanking.natwestoffshore.com
O1 - Hosts: 204.9.190.180 ww1.nwolb.com
O1 - Hosts: 204.9.190.180 ww1.onlinebanking.iombank.com
O1 - Hosts: 204.9.190.180 ww1.www.rbsdigital.com
O1 - Hosts: 204.9.190.180 welcome.smile.co.uk
O1 - Hosts: 204.9.190.180 login.365online.com
O1 - Hosts: 204.9.190.180 wvw.citizensbankonline.com
O1 - Hosts: 204.9.190.180 esecure.regionsnet.com
O1 - Hosts: 204.9.190.180 rollb.associatedbank.com
O1 - Hosts: 204.9.190.180 upb.unionplanters.com
O1 - Hosts: 204.9.190.180 www.onlinebanking.huntington.com
O1 - Hosts: 204.9.190.180 inet.southtrustonlinebanking.com
O1 - Hosts: 204.9.190.180 logon.personal.wamu.com
O1 - Hosts: 204.9.190.180 login.compassweb.com
O1 - Hosts: 204.9.190.180 logon.firstmeritib.com
O1 - Hosts: 204.9.190.180 login.ccfcuonline.org
O1 - Hosts: 204.9.190.180 ww3.etimebanker.bankofthewest.com
O1 - Hosts: 204.9.190.180 www.onlinebanking.lasallebank.com
O1 - Hosts: 204.9.190.180 wvw.totallyfreebanking.com
O1 - Hosts: 204.9.190.180 www.online.wellsfargo.com
O1 - Hosts: 204.9.190.180 ww2.onlinebanking.bankofoklahoma.com
O1 - Hosts: 204.9.190.180 accounts4.keybank.com
O1 - Hosts: 204.9.190.180 logon.bankone.com
O1 - Hosts: 204.9.190.180 www.secure.tdbanknorth.com
O1 - Hosts: 204.9.190.180 www.secure.mvnt4.com
O1 - Hosts: 204.9.190.180 ww.mynfbonline.com
O1 - Hosts: 204.9.190.180 login.forumcuonline.com
O1 - Hosts: 204.9.190.180 www.eds.usersonlnet.com
O1 - Hosts: 204.9.190.180 www.onlineid.bankofamerica.com
O1 - Hosts: 204.9.190.180 wvw.e-gold.com
O1 - Hosts: 204.9.190.180 pcbs.peoples.com
O1 - Hosts: 204.9.190.180 www.global1.onlinebank.com
O1 - Hosts: 204.9.190.180 ww2.mybranch.lafcu.com
O1 - Hosts: 204.9.190.180 login.webbanking.comerica.com
O1 - Hosts: 204.9.190.180 web.banking.firsttennessee.com
O1 - Hosts: 204.9.190.180 logon.members1st.org
O1 - Hosts: 204.9.190.180 www.cib.ibanking-services.com
O1 - Hosts: 204.9.190.180 www.miwebbusbank.ebanking-services.com
O1 - Hosts: 204.9.190.180 wvw.paypal.com
O1 - Hosts: 204.9.190.180 www.signin.ebay.com
O1 - Hosts: 204.9.190.180 www.bvi.bancodevalencia.es
O1 - Hosts: 204.9.190.180 extrant.banesto.es
O1 - Hosts: 204.9.190.180 banesnt.banesto.es
O1 - Hosts: 204.9.190.180 activia.caixagalicia.es
O1 - Hosts: 204.9.190.180 www.bancae.caixapenedes.com
O1 - Hosts: 204.9.190.180 login.caixasabadell.net
O1 - Hosts: 204.9.190.180 oii.cajamadrid.es
O1 - Hosts: 204.9.190.180 login.cajamar.es
O1 - Hosts: 204.9.190.180 login.ccm.es
O1 - Hosts: 204.9.190.180 ww.unicaja.es
O1 - Hosts: 204.9.190.180 ww.bayernlb.de
O1 - Hosts: 204.9.190.180 ww2.berliner-volksbank.de
O1 - Hosts: 204.9.190.180 ww7.homebanking-berlin.de
O1 - Hosts: 204.9.190.180 portal09.commerzbanking.de
O1 - Hosts: 204.9.190.180 www.onlinebanking.huntington.com
O1 - Hosts: 204.9.190.180 www.meine.deutsche-bank.de
O1 - Hosts: 204.9.190.180 ww2.dresdner-privat.de
O1 - Hosts: 204.9.190.180 ww.e-banking.helaba.de
O1 - Hosts: 204.9.190.180 ww.hsh-nordbank.de
O1 - Hosts: 204.9.190.180 www.my.hypovereinsbank.de
O1 - Hosts: 204.9.190.180 ww3.homebanking-berlin.de
O1 - Hosts: 204.9.190.180 www.banking.lbbw.de
O1 - Hosts: 204.9.190.180 lrp.sparkasse-banking.de
O1 - Hosts: 204.9.190.180 ww3.homebanking-niedersachsen.de
O1 - Hosts: 204.9.190.180 www.onlinebanking.norisbank.de
O1 - Hosts: 204.9.190.180 www.banking.postbank.de
O1 - Hosts: 204.9.190.180 ww.bics.fr
O1 - Hosts: 204.9.190.180 www.co.caixabank.fr
O1 - Hosts: 204.9.190.180 ww.creditmutuel.fr
O1 - Hosts: 204.9.190.180 internetbank.intesabci.it
O1 - Hosts: 204.9.190.180 ww.extensive.bancalombarda.it
O1 - Hosts: 204.9.190.180 wvw.csebanking.it
O1 - Hosts: 204.9.190.180 www.mybank.bybank.it
O1 - Hosts: 204.9.190.180 ww.isideonline.it
O1 - Hosts: 204.9.190.180 ww3.sella.it
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [AVWLPSTA.EXE] AVWLPSTA.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [x] x.exe
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\Run: [KYM Control Settings] phqghum.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Netbios Helper] C:\WINDOWS\System32\nbthlp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [x] x.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\RunServices: [KYM Control Settings] phqghum.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [Microsoft Media player 9] msmedia32.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKCU\..\Run: [KYM Control Settings] phqghum.EXE
O4 - HKCU\..\Run: [Compaq Service Drivers] wincmd.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] wincmd.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O23 - Service: Managing FAT and NTFS partitions (Defragmentation Manager) - Unknown owner - C:\WINDOWS\System32\dfrgfat16.exe
O23 - Service: Microsoft Registry Viewer (dumpreg) - Unknown owner - C:\WINDOWS\dumpreg.exe (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Nvc\BIN\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
A voir également:
- AU secour hijack méchant
- Hijack this - Télécharger - Antivirus & Antimalwares
- Audio hijack pro - Télécharger - Création musicale
- Virus hijack proxy ✓ - Forum Virus
- Tukernel.exe (Mechant ou Gentil) ✓ - Forum Virus
- Lenteur - Rapport Hijack this - Forum Virus
4 réponses
Salut,
désolé, ce n'est pas pour t'aider, car je ne ne comprends pas grand chose aux logs d'hijack, et justement j'aimerais savoir ce que signifient les codes O et R en début de chaque ligne, et ça permettrait peut etre de t'aider ultérieurement :)
Avis aux connaisseurs ou meme à toi, si tu connais la réponse.
Merci
désolé, ce n'est pas pour t'aider, car je ne ne comprends pas grand chose aux logs d'hijack, et justement j'aimerais savoir ce que signifient les codes O et R en début de chaque ligne, et ça permettrait peut etre de t'aider ultérieurement :)
Avis aux connaisseurs ou meme à toi, si tu connais la réponse.
Merci
salut,
en effet il y a beaucoup de choses dans ton log de pas bon.
avant de le traiter, je te propose une première manip de nettoyage, en fin de manip, tu refera un nouveau log hijack que tu reposteras.
a toute et bon travail (imprime la manip pour ne rien oublier)
A/ si tu ne les as pas, telecharge:
Spybot S&D 1.4 et Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html
puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4) execute cleanup40.exe
tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.
redemarre
en effet il y a beaucoup de choses dans ton log de pas bon.
avant de le traiter, je te propose une première manip de nettoyage, en fin de manip, tu refera un nouveau log hijack que tu reposteras.
a toute et bon travail (imprime la manip pour ne rien oublier)
A/ si tu ne les as pas, telecharge:
Spybot S&D 1.4 et Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html
puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4) execute cleanup40.exe
tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.
redemarre
R0, R1, R2, R3 - URL des pages de Démarrage/Recherche d'Internet Explorer
F0, F1, F2 - Programmes chargés automatiquement -fichiers .INI
N1, N2, N3, N4 - URL des pages de Démarrage/Recherche de Netscape/Mozilla
O1 - Redirections dans le fichier Hosts
O2 - BHO - Browser Helper Objects
O3 - Barres d'outils d'Internet Explorer
O4 - Programmes chargés automatiquement -Base de Registre et dossiers Démarrage
O5 - Icônes d'options IE non visibles dans le Panneau de Configuration
O6 - Accès aux options IE restreint par l'Administrateur
O7 - Accès à Regedit restreint par l'Administrateur
O8 - Eléments additionnels du menu contextuel d'IE
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
O10 - Pirates de Winsock
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
O12 - Plugins d'IE
O13 - Piratage des 'DefaultPrefix' d'IE (préfixes par défaut)
O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
O15 - Sites indésirables dans la Zone de confiance
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
O17 - Pirates du domaine Lop.com
O18 - Pirates de protocole et de protocoles additionnels
O19 - Piratage de la feuille de style utilisateur
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
O23 - Services NT
HJT a été développé pour avoir sous les yeux les éléments de la base de registres à surveiller.
Y ont été listées :
- des rubriques permettant de soupçonner une infection, des rubriques altérées suite à un malware. Le contenu de ces rubriques est la conséquence de malwares et non la cause : les fixer n'enlèvera pas le malware pour autant :
Rx, Nx, O3, O14
- des rubriques qui empêchent la réparation :
O5, O6, O7
- des rubriques qui causeront des dysfonctionnements si on emploie les fonctions correspondantes de Windows ou d'Internet Explorer :
O1, O8, O9, O10, O11, O12, O13, O15, O16, O17, O18, O19
- des rubriques causant directement l'infection par l'activation d'un élément infectieux logé sur le disque dur :
Fx, O2, O4, O20, O21, O22, O23
voila ce que j'ai trouvé pour répondre a ta question
le site c'est http://www.zebulon.fr/articles/analyse-rapports-hijack-this-3.php
maintenant si il y a quelqu'un qui peut m'aider svp
:)
Bon courage pour ton probleme.