[hijackthis] analyse plize
keub
Messages postés
7
Statut
Membre
-
Real Mona Messages postés 1432 Statut Membre -
Real Mona Messages postés 1432 Statut Membre -
Salut,
Quelqu'un pour m'aider à analyser ça :
Logfile of HijackThis v1.99.1
Scan saved at 10:47:24, on 18/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\trcboot.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\lotus\notes\ntmulti.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINNT\Wcgopsvc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE
C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\otti\nrua.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\Program Files\IBM\Personal Communications\pcsws.exe
C:\Program Files\IBM\Personal Communications\PCSCM.EXE
C:\Program Files\lotus\notes\NLNOTES.EXE
C:\Program Files\lotus\notes\ntaskldr.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [ML1HelperStartUp] C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE /partner ML1
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Cutu] "C:\Program Files\otti\nrua.exe" -vt mt
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129366707453
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: IE40 - {963B7C2D-7C0C-47BA-713A-AAD10E3A3AED} - c:\program files\internet explorer\gfhw32.dll
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: TrcBoot - IBM Corporation - C:\WINNT\system32\drivers\trcboot.exe
Merci bcp d'avance
Keub
Quelqu'un pour m'aider à analyser ça :
Logfile of HijackThis v1.99.1
Scan saved at 10:47:24, on 18/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\trcboot.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\lotus\notes\ntmulti.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINNT\Wcgopsvc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE
C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\otti\nrua.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\Program Files\IBM\Personal Communications\pcsws.exe
C:\Program Files\IBM\Personal Communications\PCSCM.EXE
C:\Program Files\lotus\notes\NLNOTES.EXE
C:\Program Files\lotus\notes\ntaskldr.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [ML1HelperStartUp] C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE /partner ML1
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Cutu] "C:\Program Files\otti\nrua.exe" -vt mt
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129366707453
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: IE40 - {963B7C2D-7C0C-47BA-713A-AAD10E3A3AED} - c:\program files\internet explorer\gfhw32.dll
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: TrcBoot - IBM Corporation - C:\WINNT\system32\drivers\trcboot.exe
Merci bcp d'avance
Keub
A voir également:
- [hijackthis] analyse plize
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Analyse et réparation disque dur externe - Guide
12 réponses
Mona,
symptomes : page de demarrage ie qui change, parfois impossibilité ouvrir ie, ...
Norton avait remarqué : download.trojan+backdoor.shelbot + trojan.abwiz.c + trojan.stwoyle
J'ai effectué plein de scan, mais l'impression qu'il en reste ...
Merci votre aide
symptomes : page de demarrage ie qui change, parfois impossibilité ouvrir ie, ...
Norton avait remarqué : download.trojan+backdoor.shelbot + trojan.abwiz.c + trojan.stwoyle
J'ai effectué plein de scan, mais l'impression qu'il en reste ...
Merci votre aide
salut
telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le double clic smitfraudfix.cmd
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
a+
telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le double clic smitfraudfix.cmd
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
a+
Ah ben voilà qui est clair !
Va faire un scan là http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.
Fais un scan en mode complet.
Sauvegardes le rapport et copie le ici
tu passes ad-aware et spybot et tu vides leur quarantaine et tu me repostes un hijackthis avec le résultat d'Ewido
M.
Va faire un scan là http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.
Fais un scan en mode complet.
Sauvegardes le rapport et copie le ici
tu passes ad-aware et spybot et tu vides leur quarantaine et tu me repostes un hijackthis avec le résultat d'Ewido
M.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
moe31
rapport smitfraud :
SmitFraudFix v1.88
Rapport fait à 11:04:17,95 le mar. 18/10/2005
Executé à partir de C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT
C:\WINNT\desktop.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32
C:\WINNT\system32\latest.exe PRESENT !
C:\WINNT\system32\vxgame?.exe PRESENT !
C:\WINNT\system32\vxgamet?.exe PRESENT !
C:\WINNT\system32\vxh8jkdq?.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data
C:\Documents and Settings\Administrateur\Application Data\Install.dat PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
rapport smitfraud :
SmitFraudFix v1.88
Rapport fait à 11:04:17,95 le mar. 18/10/2005
Executé à partir de C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT
C:\WINNT\desktop.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32
C:\WINNT\system32\latest.exe PRESENT !
C:\WINNT\system32\vxgame?.exe PRESENT !
C:\WINNT\system32\vxgamet?.exe PRESENT !
C:\WINNT\system32\vxh8jkdq?.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data
C:\Documents and Settings\Administrateur\Application Data\Install.dat PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
ok d'accord
j'ai pas trop le temps de rester, dois repartir bosser
fais analyser ce fichier en attendant:
C:\WINNT\Wcgopsvc.exe
ici:
http://www.virustotal.com/xhtml/virustotal_en.html
a+
j'ai pas trop le temps de rester, dois repartir bosser
fais analyser ce fichier en attendant:
C:\WINNT\Wcgopsvc.exe
ici:
http://www.virustotal.com/xhtml/virustotal_en.html
a+
Real Mona, voici le rapport de ewido
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------
+ Créé le: 12:02:01, 18/10/2005
+ Somme de contrôle: 85E7344
+ Résultats du scan:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/CONFLICT.1/HDPlugin1101.dll\\.Owner -> Spyware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/CONFLICT.1/HDPlugin1101.dll\\{DBAE7000-01EC-4162-8FEB-8A27AC937CA0} -> Spyware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/CONFLICT.1/MediaTicketsInstaller.ocx\\.Owner -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/CONFLICT.1/MediaTicketsInstaller.ocx\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/HDPlugin1101.dll\\.Owner -> Spyware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/HDPlugin1101.dll\\{DBAE7000-01EC-4162-8FEB-8A27AC937CA0} -> Spyware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/MediaTicketsInstaller.ocx\\.Owner -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/MediaTicketsInstaller.ocx\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/system32/mfc42.dll\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/system32/msvcrt.dll\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/system32/olepro32.dll\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
[1312] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1200] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1220] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1416] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1436] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1464] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1556] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[284] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1148] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1612] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1908] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[940] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[584] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[2384] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[2448] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@com[2].txt -> Spyware.Cookie.Com : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\2.qtdfmp -> Not-A-Virus.Hoax.Renos.o : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\5.qtdfmp -> TrojanDownloader.Small.awa : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\6.qtdfmp -> TrojanDownloader.Tibs.m : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\7.qtdfmp -> TrojanDownloader.Tibs.m : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\file.exe -> Trojan.Spabot.r : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\ddaahdrn\datepfntdp\trndfnpfr.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\ddaahdrn\fblennbp\lpnffnfj.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\Program Files\Symantec\LiveUpdate\__delete_on_reboot__dxfi32.dll -> Trojan.Agent.hh : Nettoyer et sauvegarder
C:\Program Files\Symantec\LiveUpdate\__delete_on_reboot__wmeayl32.dll -> Trojan.Zapchast : Nettoyer et sauvegarder
C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaTicketsInstaller.ocx -> Spyware.MediaTickets : Nettoyer et sauvegarder
C:\WINNT\Downloaded Program Files\HDPlugin1101.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\WINNT\Downloaded Program Files\win32.exe -> TrojanDownloader.Tibs.l : Nettoyer et sauvegarder
C:\WINNT\mtuninst.exe -> Spyware.MediaTickets : Nettoyer et sauvegarder
C:\WINNT\system32\oins.exe -> Spyware.MediaTickets : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame2.exe -> TrojanProxy.Lager.x : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame4.exe -> Trojan.Spabot.r : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame6.exe -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINNT\system32\vxgamet1.exe -> TrojanDownloader.Small.bpz : Nettoyer et sauvegarder
C:\WINNT\system32\vxgamet3.exe -> TrojanDownloader.Small.bpz : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Renos.o : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq5.exe -> TrojanDownloader.Small.awa : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq6.exe -> TrojanDownloader.Tibs.m : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq7.exe -> TrojanDownloader.Tibs.m : Nettoyer et sauvegarder
::Fin du rapport
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------
+ Créé le: 12:02:01, 18/10/2005
+ Somme de contrôle: 85E7344
+ Résultats du scan:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/CONFLICT.1/HDPlugin1101.dll\\.Owner -> Spyware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/CONFLICT.1/HDPlugin1101.dll\\{DBAE7000-01EC-4162-8FEB-8A27AC937CA0} -> Spyware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/CONFLICT.1/MediaTicketsInstaller.ocx\\.Owner -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/CONFLICT.1/MediaTicketsInstaller.ocx\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/HDPlugin1101.dll\\.Owner -> Spyware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/HDPlugin1101.dll\\{DBAE7000-01EC-4162-8FEB-8A27AC937CA0} -> Spyware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/MediaTicketsInstaller.ocx\\.Owner -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/Downloaded Program Files/MediaTicketsInstaller.ocx\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/system32/mfc42.dll\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/system32/msvcrt.dll\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/system32/olepro32.dll\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
[1312] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1200] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1220] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1416] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1436] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1464] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1556] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[284] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1148] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1612] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[1908] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[940] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[584] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[2384] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
[2448] c:\program files\symantec\liveupdate\wmeayl32.dll -> Trojan.Zapchast : Erreur durant le nettoyage
C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@com[2].txt -> Spyware.Cookie.Com : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\2.qtdfmp -> Not-A-Virus.Hoax.Renos.o : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\5.qtdfmp -> TrojanDownloader.Small.awa : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\6.qtdfmp -> TrojanDownloader.Tibs.m : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\7.qtdfmp -> TrojanDownloader.Tibs.m : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temp\file.exe -> Trojan.Spabot.r : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\ddaahdrn\datepfntdp\trndfnpfr.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\ddaahdrn\fblennbp\lpnffnfj.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\Program Files\Symantec\LiveUpdate\__delete_on_reboot__dxfi32.dll -> Trojan.Agent.hh : Nettoyer et sauvegarder
C:\Program Files\Symantec\LiveUpdate\__delete_on_reboot__wmeayl32.dll -> Trojan.Zapchast : Nettoyer et sauvegarder
C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaTicketsInstaller.ocx -> Spyware.MediaTickets : Nettoyer et sauvegarder
C:\WINNT\Downloaded Program Files\HDPlugin1101.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\WINNT\Downloaded Program Files\win32.exe -> TrojanDownloader.Tibs.l : Nettoyer et sauvegarder
C:\WINNT\mtuninst.exe -> Spyware.MediaTickets : Nettoyer et sauvegarder
C:\WINNT\system32\oins.exe -> Spyware.MediaTickets : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame2.exe -> TrojanProxy.Lager.x : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame4.exe -> Trojan.Spabot.r : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame6.exe -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINNT\system32\vxgamet1.exe -> TrojanDownloader.Small.bpz : Nettoyer et sauvegarder
C:\WINNT\system32\vxgamet3.exe -> TrojanDownloader.Small.bpz : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Renos.o : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq5.exe -> TrojanDownloader.Small.awa : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq6.exe -> TrojanDownloader.Tibs.m : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq7.exe -> TrojanDownloader.Tibs.m : Nettoyer et sauvegarder
::Fin du rapport
Mona, le nouveau rapport hijack :
Logfile of HijackThis v1.99.1
Scan saved at 12:17:02, on 18/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\trcboot.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\lotus\notes\ntmulti.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINNT\Wcgopsvc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\otti\nrua.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\Program Files\IBM\Personal Communications\pcsws.exe
C:\Program Files\IBM\Personal Communications\PCSCM.EXE
C:\Program Files\lotus\notes\NLNOTES.EXE
C:\Program Files\lotus\notes\ntaskldr.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [ML1HelperStartUp] C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE /partner ML1
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Cutu] "C:\Program Files\otti\nrua.exe" -vt mt
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129366707453
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: IE40 - {963B7C2D-7C0C-47BA-713A-AAD10E3A3AED} - c:\program files\internet explorer\gfhw32.dll
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: TrcBoot - IBM Corporation - C:\WINNT\system32\drivers\trcboot.exe
Logfile of HijackThis v1.99.1
Scan saved at 12:17:02, on 18/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\trcboot.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\lotus\notes\ntmulti.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINNT\Wcgopsvc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\otti\nrua.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\Program Files\IBM\Personal Communications\pcsws.exe
C:\Program Files\IBM\Personal Communications\PCSCM.EXE
C:\Program Files\lotus\notes\NLNOTES.EXE
C:\Program Files\lotus\notes\ntaskldr.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [ML1HelperStartUp] C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE /partner ML1
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Cutu] "C:\Program Files\otti\nrua.exe" -vt mt
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129366707453
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{3895BD65-74C9-4A99-A1C0-20A96A9E40A0}: NameServer = 62.56.210.19,62.56.210.20
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: IE40 - {963B7C2D-7C0C-47BA-713A-AAD10E3A3AED} - c:\program files\internet explorer\gfhw32.dll
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: TrcBoot - IBM Corporation - C:\WINNT\system32\drivers\trcboot.exe
Apparement tout est rentré dans l'ordre néanmoins si vous voyez quelque chose qui cloche, merci me signaler.
Keub
Keub
Re,
Que donne l'analyse de C:\WINNT\Wcgopsvc.exe ?
Imprime ceci pour ne rien oublier de faire :
Méthode à suivre dans l'ordre...
----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* Ne pas oublier de vider la corbeille !
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
----------------------------------------------------------------------------
Recherche et supprime ceci:
attention seulement les fichiers (si présents)
C:\winstall.exe
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport
----------------------------------------------------------------------------
¤ Passe Ad-Aware et vire tout ce qu’il trouve
----------------------------------------------------------------------------
¤ Passe Spybot et vire tout ce qu’il trouve
----------------------------------------------------------------------------
> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis et copie/colle le rapport de Smitfraud sauvegardé sur le forum
A+
Mona
Que donne l'analyse de C:\WINNT\Wcgopsvc.exe ?
Imprime ceci pour ne rien oublier de faire :
Méthode à suivre dans l'ordre...
----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* Ne pas oublier de vider la corbeille !
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
----------------------------------------------------------------------------
Recherche et supprime ceci:
attention seulement les fichiers (si présents)
C:\winstall.exe
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport
----------------------------------------------------------------------------
¤ Passe Ad-Aware et vire tout ce qu’il trouve
----------------------------------------------------------------------------
¤ Passe Spybot et vire tout ce qu’il trouve
----------------------------------------------------------------------------
> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis et copie/colle le rapport de Smitfraud sauvegardé sur le forum
A+
Mona
