Aide analyse log HijackThis Résolu/Fermé

Question

Bonjour à tous,J'ai chopé SpySheriff il y a deux jours et j'ai, je pense, plus ou moins réussi à l'enlever.Néanmoins, il subsiste quelques curiosités, comme l'ouverture spontannée et aléatoire d'une fenêtre IE à l'adresse http://OK/. Et d'autre part, SpyBot que j'ai installé me signale régulièrement la tentative de créer une entrée dans la base de registre avec que des 0, chqaue fois que j'ouvre une fenêtre IE ou un dossier Windows...J'ai suivi tout ou partie des tutos du site concernant le nettoyage du PC, mais je pense qu'il subsiste des composants que je n'arrive pas à enlever. Pourriez vous s'il vous plaît m'aider à analyser ce log et me dire ce que je dois faire pour enlever les séquelles du passage de SpySheriff...(c'est mon ordi au boulot...)Logfile of HijackThis v1.99.1Scan saved at 09:41:39, on 19/10/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\PROGRA~1\MOUSES~1\bally4d.exeC:\WINDOWS\System32\NTCommLib3.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Spybot - Search & Destroy\TeaTimer.exeC:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\ERTENIKO\Bureau\Tools\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: C:\WINDOWS\adsldpbc.dll - {2C74A829-2B53-4716-93BF-BD522E35D246} - C:\WINDOWS\adsldpbc.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: C:\WINDOWS\q25804656.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - C:\WINDOWS\q25804656.dllO2 - BHO: (no name) - {C7CF1142-0785-4B12-A280-B64681E4D45E} - C:\WINDOWS\system32\prflbmsgp32.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [NTCommLib3] C:\WINDOWS\System32\NTCommLib3.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEO15 - Trusted Zone: *.coolwebsearch.comO15 - Trusted Zone: *.searchmeup.comO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\Software\..\Telephony: DomainName = ERTE.localO17 - HKLM\System\CCS\Services\Tcpip\..\{9D1309FC-F3CC-4ABA-B099-2D9583F65B7E}: NameServer = 85.255.113.130,85.255.112.5O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ERTE.localO20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dllO20 - Winlogon Notify: style32 - C:\WINDOWS\q25804656.dllMerci à vous.++

Real Mona · Answer

Bonjour,Je n'ai pas l'impression que ton log soit complet.Peux tu relancer HT et en remettre un ?A+M.

titou666 · Answer

Il me semble que c'est le même...(si tel est le cas, j'essaierai de l'enlever pour ne pas surcharger...)Qu'est ce qui paraît manquer?Logfile of HijackThis v1.99.1Scan saved at 10:17:15, on 19/10/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\PROGRA~1\MOUSES~1\bally4d.exeC:\WINDOWS\System32\NTCommLib3.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Spybot - Search & Destroy\TeaTimer.exeC:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Microsoft Office\Office\WINWORD.EXEC:\Program Files\Microsoft Office\Office\MSACCESS.EXEC:\WINDOWS\system32\mspaint.exeC:\WINDOWS\System32\svchost.exeC:\Documents and Settings\ERTENIKO\Bureau\Tools\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: C:\WINDOWS\adsldpbc.dll - {2C74A829-2B53-4716-93BF-BD522E35D246} - C:\WINDOWS\adsldpbc.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: C:\WINDOWS\q25804656.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - C:\WINDOWS\q25804656.dllO2 - BHO: (no name) - {C7CF1142-0785-4B12-A280-B64681E4D45E} - C:\WINDOWS\system32\prflbmsgp32.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [NTCommLib3] C:\WINDOWS\System32\NTCommLib3.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEO15 - Trusted Zone: *.coolwebsearch.comO15 - Trusted Zone: *.searchmeup.comO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\Software\..\Telephony: DomainName = ERTE.localO17 - HKLM\System\CCS\Services\Tcpip\..\{9D1309FC-F3CC-4ABA-B099-2D9583F65B7E}: NameServer = 85.255.113.130,85.255.112.5O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ERTE.localO20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dllO20 - Winlogon Notify: style32 - C:\WINDOWS\q25804656.dllMerci à toi.++

Real Mona · Answer

Les lignes 023...Au cas où, tu vas pas redémarrer ton ordi et recommencer ?(mais je peux me tromper ceci dit) et si tu vois que c'est la meme chose, ben on va faire avec !A+M.

titou666 · Answer

J'ai redémarrer et j'ai exactement le même log...sans lignes 023++

Real Mona · Answer

OK...Je reviens vers toi.A+M.

titou666 · Answer

Merci beaucoup.++

Real Mona · Answer

Re,Bon on va procéder autrement...Télécharge ceci: (merci a S!RI pour ce petit programme).http://siri.urz.free.fr/Fix/SmitfraudFix.zipExécute le, choisit l’option 1, il va générer un rapportCopie/colle le sur le poste stp.----------------------------------------------------------------------------Démarre en mode sans échec :Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêterUne fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !(Si F8 ne marche pas utilise la touche F5).----------------------------------------------------------------------------Relance le programme Smitfraug,Cette fois choisit l’option 2, répond oui a tous ;Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum ainsi qu'un autre log HT.A+M.

titou666 · Answer

Je fait ça ne début d'aprem et je te tiens au courant.Merci++

titou666 · Answer

Résultat de l'option 1SmitFraudFix v1.88Rapport fait à 13:16:21,76 le 19/10/2005Executé à partir de C:\Documents and Settings\ERTENIKO\Bureau\Tools\SmithFraud\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32C:\WINDOWS\system32\vxgamet?.exe PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\ERTENIKO\Application DataC:\Documents and Settings\ERTENIKO\Application Data\Install.dat PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\ERTENIKO\Bureau»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTDHKLM\SOFTWARE\SHUDDERLTD non trouvé.»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapportJe fais l'option 2 zn mode sans échec (Merci pour le détail de tes explications)++

titou666 · Answer

Log de SmithFraud après redémarrage:SmitFraudFix v1.88Rapport fait à 13:21:34,76 le 19/10/2005Executé à partir de C:\Documents and Settings\ERTENIKO\Bureau\Tools\SmithFraud\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectésC:\WINDOWS\system32\vxgamet?.exe suppriméC:\Documents and Settings\ERTENIKO\Application Data\Install.dat supprimé »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapportLog de HijackThis après nettoyage:Logfile of HijackThis v1.99.1Scan saved at 13:27:23, on 19/10/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\PROGRA~1\MOUSES~1\bally4d.exeC:\WINDOWS\System32\NTCommLib3.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Spybot - Search & Destroy\TeaTimer.exeC:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\ERTENIKO\Bureau\Tools\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: C:\WINDOWS\adsldpbc.dll - {2C74A829-2B53-4716-93BF-BD522E35D246} - C:\WINDOWS\adsldpbc.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: C:\WINDOWS\q25804656.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - C:\WINDOWS\q25804656.dllO2 - BHO: (no name) - {C7CF1142-0785-4B12-A280-B64681E4D45E} - C:\WINDOWS\system32\prflbmsgp32.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [NTCommLib3] C:\WINDOWS\System32\NTCommLib3.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEO15 - Trusted Zone: *.coolwebsearch.comO15 - Trusted Zone: *.searchmeup.comO16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cabO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\Software\..\Telephony: DomainName = ERTE.localO17 - HKLM\System\CCS\Services\Tcpip\..\{9D1309FC-F3CC-4ABA-B099-2D9583F65B7E}: NameServer = 85.255.113.130,85.255.112.5O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ERTE.localO20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dllO20 - Winlogon Notify: style32 - C:\WINDOWS\q25804656.dllMerci de ton aide++

Utilisateur anonyme · Answer

Salut, desole de m incruster, je fais un ptit test...Désactive le temps de la manip, le Tea timer de Spybot lance Spybot >mode avancé> outils >> résident Décoche la case résident "tea timer" **Télécharge win32delfkil.exe http://users.telenet.be/marcvn/tools/win32delfkil.exePlace-le sur le bureau. Lance-le. Le dossier win32delfkil est créé. Ferme tous les prog, toutes les fenêtres. Ouvre ce dossier et double-clic sur win32delfkil.exeRedemarre et remet un logA+

titou666 · Answer

Juste histoire d'être sûr...Il y a 3 exe dasn le dossier Win32Delfkil (Process, REBOOT, et Swreg) et deux bat (delfiles et fix).Dans le fichier info.txt, il est dit qu'il faut lancer le fix.bat.C'est ce que tu entendais par win32delfkil.exe?++

Utilisateur anonyme · Answer

Tu double clik sur le fixa+

titou666 · Answer

Effectivement ça a du changer quelques trucs...Logfile of HijackThis v1.99.1Scan saved at 14:56:58, on 19/10/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\PROGRA~1\MOUSES~1\bally4d.exeC:\WINDOWS\System32\NTCommLib3.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\ERTENIKO\Bureau\Tools\Hijack\HijackThis.exeC:\WINDOWS\System32\wuauclt.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: C:\WINDOWS\adsldpbc.dll - {2C74A829-2B53-4716-93BF-BD522E35D246} - C:\WINDOWS\adsldpbc.dll (file missing)O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [NTCommLib3] C:\WINDOWS\System32\NTCommLib3.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEO16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cabO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\Software\..\Telephony: DomainName = ERTE.localO17 - HKLM\System\CCS\Services\Tcpip\..\{9D1309FC-F3CC-4ABA-B099-2D9583F65B7E}: NameServer = 85.255.113.130,85.255.112.5O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ERTE.localO20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dll++

titou666 · Answer

Au fait Real Mona, j'ai cru constater que les 023 dans HighjackThis étaient liés aux services Windows.Mon poste étant en réseau entreprise, peut être que les services sont démarrés au niveau du serveur?...++

Utilisateur anonyme · Answer

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :   O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)  O2 - BHO: C:\WINDOWS\adsldpbc.dll - {2C74A829-2B53-4716-93BF-BD522E35D246} - C:\WINDOWS\adsldpbc.dll (file missing) O4 - HKLM\..\Run: [NTCommLib3] C:\WINDOWS\System32\NTCommLib3.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9D1309FC-F3CC-4ABA-B099-2D9583F65B7E}: NameServer = 85.255.113.130,85.255.112.5O20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dll Supprime C:\WINDOWS\System32\NTCommLib3.exe Redemarre et remet un loga+

titou666 · Answer

Résultat:Logfile of HijackThis v1.99.1Scan saved at 16:37:19, on 19/10/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\userinit.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\PROGRA~1\MOUSES~1\bally4d.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEC:\Documents and Settings\ERTENIKO\Bureau\Tools\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXEO16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cabO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\Software\..\Telephony: DomainName = ERTE.localO17 - HKLM\System\CCS\Services\Tcpip\..\{9D1309FC-F3CC-4ABA-B099-2D9583F65B7E}: NameServer = 85.255.113.130,85.255.112.5O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ERTE.localO17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ERTE.localO20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dll++

Real Mona · Answer

Une fois de plus grâce à régis59 tu es sauvé... ton log est clean maintenant et tu as raison pour les 023 !Ceci dit Quentin, peux tu me dire à quoi sert le prog win32delfkil.exe ?Et merci de ta comme toujours efficace intervention...MonaPS : titou pense à faire un windows update !

Utilisateur anonyme · Answer

Mme Real Mona, je vous ai tout de meme laisse un peu de travail...O20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dllCela ne me semble pas tres clean !

Real Mona · Answer

Nan effectivement pas clean du tout.Titou fixe donc cette ligne :O20 - Winlogon Notify: mcfG7A - C:\WINDOWS\SYSTEM32\mcfG7A.dllMonsieur régis59 pourriez vous m'expliquer à quoi sert le programme win32delfkil.exe ? merci d'avance pour votre réponse.Mona

Utilisateur anonyme · Answer

Salut monanormalement il sert pour virer Win32.Delf.pa, alias Trojan.Stwoyledans hijackthis ca donne ca:O2 - BHO: C:\WINDOWS\adsldpbc.dll O20 - Winlogon Notify: style32O20 - Winlogon Notify: style2plus de détails ici:http://cjoint.com/?kttdvGpyu3a++

Utilisateur anonyme · Answer

T'inquiète, c'est pareil pour moi.j'ai tout un tas de fichiers txt remplis de liens, manips et je commence à ne plus m'y retrouver.Va falloir que je mette un peu d'ordre dans tout ca lolbisesa+

Utilisateur anonyme · Answer

tu as besoin de tutos sur certains progs ou manips ?

Real Mona · Answer

J'étais allée voir les liens que tu m'avais cité (bien avant que tu me les cites d'ailleurs) et j'essaie de suivre les cours de lilibanshee (comment va t'elle d'ailleurs ?) mais je me rend tellement souvent compte que je pêche sur pas mal de trucs... qu'à la limite il me faudrait la totale ! Bon j'veux pas devenir une spécialiste, mais au moins éviter les conn... de base que j'ai encore trop tendance à faire ! tu vois ce que je veux dire ?Je réactive la visibilité de mon email sur mon profil au cas zou...

Utilisateur anonyme · Answer

ok, c'est noté et envoyé, dis moi si tu as recu le messagea+

Real Mona · Answer

Nan pas recu, meme pas dans mes courriers indésirables (manquerait plus que ca tiens!)Question au passage j'ai pas trouvé bcp d'infos sur les lignes F3 qu'est ce que j'en fait, je suis sur un cas SUPER infecté.... ?

Utilisateur anonyme · Answer

ok j'ai compris, adresse hotmailregarde dans mon profil et dis moi dès que tu as notéj'ai aucun prog de messagerie instantanée genre msn ni outlook et apparement ca passe pas avec le client mail mozilla

Real Mona · Answer

Noté !!!

Utilisateur anonyme · Answer

j'ai répondu, dis moi si ca passe se coup ci, lola+

Utilisateur anonyme · Answer

moe, donne moi le lien de kaspersky scan en ligne stp

Utilisateur anonyme · Answer

ca roulehttp://webscanner.kaspersky.fr/

Utilisateur anonyme · Answer

Merci Olivier

titou666 · Answer

Bonjour à tous,Merci beaucoup de votre aide, tout est clean maintenant.Pour supprimer la ligne 020 - Winlogon notify du log, j'ai du renomer la dll en mode sans échec (le suppr étant refusé...) puis reboot, puis fix dans HighjackThis, puis à nouveau reboot, et maintenant, ça va.Encore merci.++

Aide analyse log HijackThis

33 réponses

Discussions similaires