nouveau log hijack Résolu/Fermé

Question

Bonjour à tous,après analyse diverses de l'ordi, il me reste ça (ci apres log hijack)mon ordi rame encore...snif ! lol !une question : svchost.exe, c'est quoi ?merci d'avance à tousLogfile of HijackThis v1.99.1Scan saved at 09:45:07, on 07/09/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\progra~1\softwin\bitdef~1\bdmcon.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\Messenger\msmsgs.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exec:\progra~1\intern~1\iexplore.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wdfmgr.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exeC:\WINDOWS\System32\alg.exeC:\PROGRA~1\Logitech\Video\FxSvr2.exeC:\Documents and Settings\MANIKON\Mes documents\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.awydhhvcvbs.com/Y2XBW6mbmI/ZdJCIBmBDWWpyRuEiCVcp79YeGkUHt_aNAE/pC2tXvnLqahRXdtPp.cgiR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {8B086911-6013-1AFA-4141-BCE6C97EB525} - C:\DOCUME~1\MANIKON\APPLIC~1\DELETE~1\ShowMpeg.exeO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exeO4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [glue eq] C:\DOCUME~1\MANIKON\APPLIC~1\WINDOW~1\extra dent wma.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D5F9C44A-3270-49F1-84A7-64722327C906}: NameServer = 217.19.192.132 217.19.192.131O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: Aluria Spyware Eliminator Service (ASEService) - Unknown owner - C:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe (file missing)O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exeO23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

jean38 · Answer

salut,

tu as des traces de bitdefender. Tu l'as supprimé?

de plus
telecharge lopxp ici:
http://get.yourfile.net/oe73160.zip
dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici

ladykiller · Answer

voilà. par contre je sais toujours pas ce que c'est svchost.exe...
merci d'avance

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 24C3-FD17

R‚pertoire de C:\Documents and Settings\All Users\Application Data

07/09/2005 08:55 <REP> Findfilmboremail
06/09/2005 10:45 <REP> Windows Genuine Advantage
06/09/2005 10:45 <REP> ..
06/09/2005 10:45 <REP> .
05/09/2005 08:00 <REP> AVG7
30/07/2005 15:36 <REP> Microsoft
15/05/2005 19:05 <REP> Messenger Plus!
13/01/2005 11:28 <REP> Adobe
31/12/2004 10:43 <REP> Grisoft
05/11/2004 20:38 377 hpzinstall.log
05/11/2004 19:58 <REP> Hewlett-Packard
08/09/2004 15:43 <REP> Symantec
05/08/2004 18:00 <REP> Spybot - Search & Destroy
04/08/2004 09:35 <REP> AOL
27/06/2004 11:08 <REP> QuickTime
19/06/2004 20:14 <REP> Viewpoint
26/05/2004 20:43 <REP> MSN6
24/05/2004 17:32 62 desktop.ini
2 fichier(s) 439 octets
16 R‚p(s) 4ÿ032ÿ929ÿ792 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 24C3-FD17

R‚pertoire de C:\Documents and Settings\MANIKON\Application Data

29/08/2005 10:36 <REP> deletetons
29/08/2005 10:35 <REP> windowthirdbyte
16/08/2005 15:34 <REP> ..
16/08/2005 15:34 <REP> .
15/08/2005 19:26 <REP> dvdcss
15/08/2005 19:19 <REP> vlc
30/07/2005 15:38 <REP> Microsoft
17/07/2005 15:34 <REP> Mozilla
17/07/2005 15:34 <REP> Talkback
10/07/2005 13:15 <REP> InterVideo
04/07/2005 19:07 <REP> DeepBurner
24/06/2005 09:09 <REP> AdobeUM
08/06/2005 12:36 <REP> Wildfire
06/06/2005 16:10 <REP> Nvu
17/05/2005 17:04 <REP> MSN6
07/04/2005 13:07 <REP> Identities
02/04/2005 14:51 <REP> Adobe
24/03/2005 18:17 <REP> Sun
18/02/2005 12:41 <REP> Macromedia
13/01/2005 11:25 1ÿ210 AdobeDLM.log
13/01/2005 11:25 0 dm.ini
31/12/2004 10:46 <REP> AVG7
15/10/2004 23:29 <REP> Ahead
09/08/2004 19:18 <REP> Real
04/08/2004 09:32 <REP> AOL
06/07/2004 10:20 <REP> FUJIFILM
19/06/2004 20:15 <REP> You've Got Pictures Screensaver
19/06/2004 17:07 <REP> Help
24/05/2004 17:32 62 desktop.ini
24/05/2004 17:22 <REP> Symantec
24/05/2004 17:05 <REP> Microsoft Web Folders
3 fichier(s) 1ÿ272 octets
28 R‚p(s) 4ÿ032ÿ929ÿ792 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 24C3-FD17

R‚pertoire de C:\WINDOWS\Tasks

08/09/2005 10:00 280 AB5F35D79184AB43.job
08/09/2005 10:00 280 A8B016BB91A78D5B.job
08/09/2005 09:58 6 SA.DAT
07/09/2005 19:02 320 HP Usg Daily.job
29/08/2005 10:35 <REP> ..
29/08/2005 10:35 <REP> .
24/04/2003 14:00 65 desktop.ini
5 fichier(s) 951 octets
2 R‚p(s) 4ÿ032ÿ929ÿ792 octets libres

ladykiller · Answer

ben jean38, tu me demande de coller un log lopxp et tu regarde meme pas....

Utilisateur anonyme · Answer

Tu crois qu il est collé devant son pc?Excuse le de bosser et de partir en deplacement !Sois plus courtois deja, d autres prendront la releve !

ladykiller · Answer

désolé mais je suis courtois. simplement que ce n'est pas la 1ere fois qu'on me demande de poster un log et qu'on ne réponde pas au message. je sais bien que l'on est pas tout le temps devant son ordi mais bon..merci quand meme à tous

Utilisateur anonyme · Answer

salut

telecharge la nouvelle version de lopxp ici (supprime l'ancienne):
http://get.yourfile.net/qn76964.zip
dezippe le, lance le , le bloc notes va s'ouvrir, copie et colle le contenu ici.
plus un nouvel hijack et promis je le regarde rapidement.
jean doit etre au boulot

a+

ladykiller · Answer

Merci moe31 tres gentil à toi

Rapport fait à 17:49:42,81 le 09/09/2005

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 24C3-FD17

R‚pertoire de C:\Documents and Settings\All Users\Application Data

09/09/2005 09:17 <REP> AVG7
07/09/2005 08:55 <REP> Findfilmboremail
06/09/2005 10:45 <REP> Windows Genuine Advantage
06/09/2005 10:45 <REP> ..
06/09/2005 10:45 <REP> .
30/07/2005 15:36 <REP> Microsoft
15/05/2005 19:05 <REP> Messenger Plus!
13/01/2005 11:28 <REP> Adobe
31/12/2004 10:43 <REP> Grisoft
05/11/2004 20:38 377 hpzinstall.log
05/11/2004 19:58 <REP> Hewlett-Packard
08/09/2004 15:43 <REP> Symantec
05/08/2004 18:00 <REP> Spybot - Search & Destroy
04/08/2004 09:35 <REP> AOL
27/06/2004 11:08 <REP> QuickTime
19/06/2004 20:14 <REP> Viewpoint
26/05/2004 20:43 <REP> MSN6
24/05/2004 17:32 62 desktop.ini
2 fichier(s) 439 octets
16 R‚p(s) 4415897600 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 24C3-FD17

R‚pertoire de C:\Documents and Settings\Default User\Application Data

24/05/2004 17:32 <REP> ..
24/05/2004 17:32 62 desktop.ini
24/05/2004 17:32 <REP> .
24/05/2004 16:47 <REP> Microsoft
1 fichier(s) 62 octets
3 R‚p(s) 4415897600 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 24C3-FD17

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

05/12/2004 15:29 <REP> Microsoft
05/12/2004 15:29 <REP> Real
05/12/2004 15:29 <REP> ..
05/12/2004 15:29 <REP> .
05/12/2004 15:28 <REP> Identities
24/05/2004 17:32 62 desktop.ini
1 fichier(s) 62 octets
5 R‚p(s) 4415893504 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 24C3-FD17

R‚pertoire de C:\Documents and Settings\MANIKON\Application Data

09/09/2005 09:17 <REP> windowthirdbyte
29/08/2005 10:36 <REP> deletetons
16/08/2005 15:34 <REP> ..
16/08/2005 15:34 <REP> .
15/08/2005 19:26 <REP> dvdcss
15/08/2005 19:19 <REP> vlc
30/07/2005 15:38 <REP> Microsoft
17/07/2005 15:34 <REP> Mozilla
17/07/2005 15:34 <REP> Talkback
10/07/2005 13:15 <REP> InterVideo
04/07/2005 19:07 <REP> DeepBurner
24/06/2005 09:09 <REP> AdobeUM
08/06/2005 12:36 <REP> Wildfire
06/06/2005 16:10 <REP> Nvu
17/05/2005 17:04 <REP> MSN6
07/04/2005 13:07 <REP> Identities
02/04/2005 14:51 <REP> Adobe
24/03/2005 18:17 <REP> Sun
18/02/2005 12:41 <REP> Macromedia
13/01/2005 11:25 1210 AdobeDLM.log
13/01/2005 11:25 0 dm.ini
31/12/2004 10:46 <REP> AVG7
15/10/2004 23:29 <REP> Ahead
09/08/2004 19:18 <REP> Real
04/08/2004 09:32 <REP> AOL
06/07/2004 10:20 <REP> FUJIFILM
19/06/2004 20:15 <REP> You've Got Pictures Screensaver
19/06/2004 17:07 <REP> Help
24/05/2004 17:32 62 desktop.ini
24/05/2004 17:22 <REP> Symantec
24/05/2004 17:05 <REP> Microsoft Web Folders
3 fichier(s) 1272 octets
28 R‚p(s) 4415893504 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

AB5F35D79184AB43.job
A8B016BB91A78D5B.job
HP Usg Daily.job
SA.DAT
desktop.ini

******************************************
Recherche dans Program files

Le dossier C:\Program Files\Adv n'existe pas
Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************

log hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:52:11, on 09/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\MANIKON\Mes documents\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.awydhhvcvbs.com/Y2XBW6mbmI/ZdJCIBmBDWWpyRuEiCVcp79YeGkUHt_aNAE/pC2tXvnLqahRXdtPp.cgi
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8B086911-6013-1AFA-4141-BCE6C97EB525} - C:\DOCUME~1\MANIKON\APPLIC~1\DELETE~1\ShowMpeg.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [glue eq] C:\DOCUME~1\MANIKON\APPLIC~1\WINDOW~1\extra dent wma.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5F9C44A-3270-49F1-84A7-64722327C906}: NameServer = 217.19.192.132 217.19.192.131
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Aluria Spyware Eliminator Service (ASEService) - Unknown owner - C:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

merci d'avance !!!!!!

Utilisateur anonyme · Answer

Salut

Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre

Déconnecte toi d'internet:

Ferme tout les programmes en cours

Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:

Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Vide le cache de tous tes navigateurs et supprime les cookies:

Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok

Pour Firefox:
menu 'Outils' > Options
icône 'Vie privée'
rubrique Cache, appuyer sur le bouton "Vider le cache"
rubrique Cookies appuyer sur le bouton "Effacer"
valide ok

Pour Mozilla
Edition > Préférences > Avancé > Cache
clic sur "Vider le cache"
et pour les cookies:
Outils > Gestionnaire de cookies > Gérer les cookies stockés
clic sur "Supprimer les cookies"
valider ok

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.awydhhvcvbs.com/Y2XBW6mbmI/ZdJCIBmBDWWpyRuEiCVcp79YeGkUHt_aNAE/pC2tXvnLqahRXdtPp.cgi
O2 - BHO: (no name) - {8B086911-6013-1AFA-4141-BCE6C97EB525} - C:\DOCUME~1\MANIKON\APPLIC~1\DELETE~1\ShowMpeg.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [glue eq] C:\DOCUME~1\MANIKON\APPLIC~1\WINDOW~1\extra dent wma.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

valider en cliquant sur [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Recherche et supprime:

C:\Documents and Settings\All Users\Application Data\Findfilmboremail <- le dossier
C:\Documents and Settings\MANIKON\Application Data\windowthirdbyte <- le dossier
C:\Documents and Settings\MANIKON\Application Data\deletetons <- le dossier

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, tres important:

:: Supprimer les fichiers temporaires ::

Manuellement:

vider tout le contenu des dossiers Temp:

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Windows\Temp

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

Ou avec Cleanup:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
regarder ceci avant d'utiliser:
http://pageperso.aol.fr/balltrap34/democleanup.htm
* Ne pas oublier de vider la corbeille !

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Puis fais ceci

demarrer > executer et tape cmd
dans la fenetre dos, tape ou copie et colle ceci:

del /a /f C:\WINDOWS\tasks\AB5F35D79184AB43.job
et valide
fais pareil avec:
del /a /f C:\WINDOWS\tasks\A8B016BB91A78D5B.job

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redemarre normalement et reposte un log hijack pour vérifier l'évolution
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.

a+

ladykiller · Answer

voilà qui est fait moe31Logfile of HijackThis v1.99.1Scan saved at 18:33:32, on 09/09/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\WINDOWS\system32\pctspk.exeC:\WINDOWS\System32\svchost.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\system32\wuauclt.exeC:\Documents and Settings\MANIKON\Mes documents\hijackthis\HijackThis.exeR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cabO23 - Service: Aluria Spyware Eliminator Service (ASEService) - Unknown owner - C:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe (file missing)O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exemerci merci merci !

Utilisateur anonyme · Answer

pour moi c'est oket de ton coté ?toujours des soucis ?

ladykiller · Answer

ça m'a l'air pas mal aussi ! mais je n'ai plus msn plus. il faut que je réinstalle en décochant la case ?

Utilisateur anonyme · Answer

non il y est toujours mais il ne se lance plus au demarrage, tu dois pouvoir le lancer via demarrer > tous les programmesessaye et dis moi si tu trouve

ladykiller · Answer

via program files ça marche. on peut pas le configurer pour qu'il se mette automatiquement ou bien c'est ça qui fait ralentir l'ordi ?

Utilisateur anonyme · Answer

et dans demarrer > tous les programmes
tu peux pas le lancer ?

sinon on va le remettre au demarrage

lance hijackthis, clic sur "view the list of backup"
coche la case devant ces lignes:
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

puis clic sur restore
referme hijackthis, redemarre ton pc et dis moi si c'est comme avant

a+

jean38 · Answer

SALUT MOE,

pardon pour l'incruste mais j'ai un doute sur une ligne O17, j'ai pas de base à jour des tcpip et celle là me deplait. Pourrais tu jeter un oeil SVP post bastos. En plus ligneO21 critique me semble t'il mais il n'a plus de connexion internet et ne peut donc scanner le fichier.

merci d'avance.

amitiés

Jean

ladykiller · Answer

oui merci beaucoup ça marche impec !thanks !

Utilisateur anonyme · Answer

y a pas de quoi ;-)

n'oublie pas de reactiver la restau systeme:

Clic droit sur poste de travail > propriétés > onglet restauration système
puis décocher "désactiver la restauration système".

si tu n'a pas d'antispywares je te conseille d'en installer:
* Spybot S&D version 1.4:
http://spybot.safer-networking.de/fr/mirrors/index.html
l'aide:
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php#ssd_02
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

* Ad-aware 1.06:
http://www.lavasoftusa.com/french/support/download/
l'aide:
http://www.tutopat.com/viewtopic.php?t=1191
une petite video:
http://pageperso.aol.fr/balltrap34/adawrevid.asf

Le patch francais:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
une fois installé, tu choisis la langue dans les parametres d'ad-aware.
clic sur l'engrenage puis sur interface choisis french et clic sur proceed pour valider

Bien lire l'aide, et mettre à jours avant de les utiliser.

et si jamais tu devais reinstaller messenger plus, n'oublie pas de cocher la case en début d'install qui refuse d'installer msn + avec les sponsors, sinon, tu connais la suite.... lol

a+

Nouveau log hijack

17 réponses

Discussions similaires