analyse de hijackthis inqietante non ? Résolu/Fermé

Question

Bonjour a tous , je crois que j ai choppé des trucs pas trés catholique , serait il possible de me dire ce que je doit enlever merci d avance .

Logfile of HijackThis v1.99.1
Scan saved at 16:54:51, on 10/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\syssm32.exe
C:\WINDOWS\System32\UAService7.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\System32\wupdates.exe
C:\Skype\Phone\Skype.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\sdkve32.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Agadhor\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jipsm.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jipsm.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jipsm.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jipsm.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jipsm.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jipsm.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jipsm.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {300C2FF9-C140-2092-C6D9-927C36520374} - C:\WINDOWS\d3bg.dll
O2 - BHO: Class - {C0B51229-8BE1-750D-3E7B-7281518F3F79} - C:\WINDOWS\appmb32.dll
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Microsoft Corp Updates] wupdates.exe
O4 - HKLM\..\RunServices: [Microsoft Corp Updates] wupdates.exe
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Skype] "C:\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{46AF9B94-5548-47BB-97BB-81DE15E239F5}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS2\Services\Tcpip\..\{46AF9B94-5548-47BB-97BB-81DE15E239F5}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\syssm32.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

jeff · Answer

Je tiens egalement a preciser que je commence a avoir des fenetres qui apparaissent en me disant que mon ordinateur est infecté , mais c est pas mon antivirus.

jean38 · Answer

OK alors,

imprime cela pour ne rien oublier, c'est important tout reprend sa formae initial si tu oublies qqchose

A/ si tu ne les as pas, telecharge:

Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe

About:Buster.
Tu le télécharges sur :
http://www.majorgeeks.com/download4289.html
clik "Check for updates".
telecharge les mises a jour
mais attend pour l'utiliser

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jipsm.dll/sp.html#93256

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jipsm.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jipsm.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jipsm.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jipsm.dll/sp.html#93256

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jipsm.dll/sp.html#93256

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jipsm.dll/sp.html#93256

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\RunServices: [Microsoft Corp Updates] wupdates.exe

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\syssm32.exe

5)Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Workstation NetLogon Service copie et colle pour etre sur
Double clic dessus ( 11Fßä #·ºÄÖ`I) et clic sur arreter puis dans type de demarrage selectionne désactivé

6) supprime les fichiers

C:\WINDOWS\system32\syssm32.exe
C:\WINDOWS\System32\wupdates.exe
C:\WINDOWS\system32\sdkve32.exe

7) lance about:buster
passe autant de fois de suite qu'il trouvera qqchose (5, 10, 20 fois au besoin).

8) lance clean up

vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.

redemarre
refait un log

jeff · Answer

erf j ai refait , et j ai bien trouvé le workstation , j ai fait comme tu m as dis , mais j ai oublié de te dire que j ai po compris comment telecharger buster, alors je l ai fais avec smitfraud :(( et apparement ca a po marché, peux tu etre plus explicite stp , merci encore . Par contre toujours pas de syssm ni de sdkve ....

jean38 · Answer

re,

si tu lis bien rien n'est compliqué, il faut lire.

Pour about buster une fois que tu as cliqué sur le lien que je t'ai donné, tu n'a qu'à choisir un lieu de telechargement ( colonne du milieu des fournisseurs choisi france et c'est fini). Mais ne t'occupe plus de abou buster.

Fais ce ci:
telecharge ewido
http://www.ewido.net/en/download/

tu cliques sur download .
ensuite tu l'installes et tu le mets à jour.

ne le lance pas tout de suite:
passe en mode sans echec

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

ensuite lance ewido et chosi de faire un scan complet.

à la fin copie et colle le log sur le forum.

A+

Jean

jeff · Answer

Merci beaucoup , je n ai plus aucun souci , Ewido m a tout enlevé :)))) meri a tous le monde , et surtout a jean .

Analyse de hijackthis inqietante non ?

5 réponses

Discussions similaires