Analyse Log HijackThis

gm1 Messages postés 12 Statut Membre -  
ben13010 Messages postés 3369 Statut Contributeur -
j' ai chargé hijack et fait la manip comme on me l'a indique , y a t il des choses anormal ci-dessous ? merci de m ' aider
Salutations

Logfile of HijackThis v1.99.1
Scan saved at 12:05:42, on 15/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\dllmgr64.exe
C:\WINDOWS\lsass.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\WINDOWS\System32\dllsys64.exe
C:\windows\banmanpro.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\usbwx.exe
c:\windows\winsysban.exe
c:\mte3ndi6odoxng.exe
C:\WINDOWS\TEMP\TMPC.tmp\IELower.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run= E:\CDSETUP.EXE
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\jkhfc.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\pyqwac.exe reg_run
O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd.exe
O4 - HKLM\..\Run: [winsysban] c:\windows\winsysban.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: Applet SIA - https://arg3875.drussl.com/TruePassSample/applets/appletsia.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117542045303
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7798880-90F1-4C2D-98F8-0AE676F3D2E6}: NameServer = 80.10.246.134 80.10.246.7
O20 - Winlogon Notify: jkhfc - jkhfc.dll (file missing)
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

5 réponses

  1. ben13010 Messages postés 3369 Statut Contributeur 387
     
    salut

    supprime ca

    C:\WINDOWS\dllmgr64.exe
    C:\WINDOWS\System32\dllsys64.exe

    C:\windows\banmanpro.exe

    C:\usbwx.exe
    c:\windows\winsysban.exe
    c:\mte3ndi6odoxng.exe

    C:\WINDOWS\TEMP\TMPC.tmp\IELower.exe

    fixe ca et supprime les fichiers en gras

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

    O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\pyqwac.exe reg_run
    O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
    O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
    O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd.exe
    O4 - HKLM\..\Run: [winsysban] c:\windows\winsysban.exe


    O20 - Winlogon Notify: jkhfc - jkhfc.dll (file missing)

    desactive ce service

    O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe

    Démarrer -> Exécuter -> tape services.msc, et supprime le service Service: dllmgr64

    double clik sur cette ligne

    fais arreter puis desactiver

    ensuite supprime

    C:\WINDOWS\dllmgr64.exe

    redemarre et reposte

    si la ligne 020 ne s'efface pas

    O20 - Winlogon Notify: jkhfc - jkhfc.dll (file missing)

    fais ceci

    Télécharger l2mfix ici:

    http://www.downloads.subratam.org/l2mfix.exe

    Double clicquer sur l2mfix.exe pour lancer l'extraction.
    Dans le dossier l2mfix, double clicquer sur l2mfix.bat et choisir l'option #1 (et pas autre chose) et valider avec la touche entrée.
    Le bloc note va s'ouvrir avec le résultat du scan.
    Faire un copier coller du résultat sur le forum.

    **

    relancer l2mfix et choisir l'option 2
    accepter le redémarrage du pc

    Vérifier que la 020 a disparu (Si toujours présente, passer l'option 2 en sans echec, si cela ne fonctionne pas,vous pouvez utiliser kill box....)
    0
  2. gm1 Messages postés 12 Statut Membre
     
    cher ami , c est sympa de me dire ce qu 'il faut faire mais ou je vais pour supprimer ces lignes par exemple C:\WINDOWS\dllmgr64.exe
    C:\WINDOWS\System32\dllsys64.exe ..............etc . Je les supprime sur le listing de hijackthis.log bloc notes ?
    salutations
    0
  3. ben13010 Messages postés 3369 Statut Contributeur 387
     
    lol !! mdr

    non tu vas sur poste de travail
    ensuite tu double clik sur c
    ensuite double clik sur windows
    la tu cherches le fichiers dllsys64.exe et tu fais clik droit dessus et supprimer

    tu fais comme ca pour tous les fichiers

    les fichiers infecté se retrouveront dans ta poubelle

    a la fin , tu la vide
    0
  4. gm1 Messages postés 12 Statut Membre
     
    1-POUR [C:\WINDOWS\dllmgr64.exe]
    [ C:\WINDOWS\System32\dllsys64.exe] [C:\WINDOWS\System32\dllsys64.exe] et pour
    [ c:\windows\winsysban.exe ] impossible de supprimer : on me dit : protege ou utilisé actuellement !
    2-POUR[ C:\WINDOWS\TEMP\TMPC.tmp\IELower.exe ] il y en avait tout un tas tmpc1 tmpc2 etc , j' ai tout supprime sauf 1 impossible on me dit : protege ou utilise .IElower est bien un de c' est truc qui essaye de s'installer sur mon PC .comment je fais ?
    3-POUR[O20 - Winlogon Notify: jkhfc - jkhfc.dll (file missing)]ou je trouve cette ligne ?
    Desolé de vous embettez avec tous mes problemes . merci encore
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ben13010 Messages postés 3369 Statut Contributeur 387
     
    alors tu va supprimer ces fichiers en mode sans echec

    ca devrai etre plus simple
    0
    1. gm1 Messages postés 12 Statut Membre
       
      je suis nul je sais mais comment on fait pour passer en mode sans echec ?
      merci
      0
    2. ben13010 Messages postés 3369 Statut Contributeur 387
       
      tu devrai te faire aider par un ami lors de la desinfection de ton pc


      tu lui montre ce post et il te trouvera les fichiers infecté

      si tu sais meme pas naviguer dans l'arborescence de ton pc , ca va etre dur de faire ce qu'on te demande ..

      bye
      0
      1. gm1 Messages postés 12 Statut Membre > ben13010 Messages postés 3369 Statut Contributeur
         
        C est sure il me faut trouver quelqu' un , mais mes amis qui sont mieux que moi ( c est pas difficile) habitent loin . Les proches sont aussi mauvais !
        Merci de ton aide je vais essayer de tel à un cop , par téléphone s' est plus facile peut etre .
        Par contre savezvous comment je peux passer mes mails reçus et envoyés de outlook express de mon PC à mon new portable ?
        Salutations
        0
      2. ben13010 Messages postés 3369 Statut Contributeur 387 > ben13010 Messages postés 3369 Statut Contributeur
         
        Par contre savezvous comment je peux passer mes mails reçus et envoyés de outlook express de mon PC à mon new portable ?
        Salutations


        non ca j'en ai aucune idee



        je te donne 2 lien sur des sites de securite info , c'est tres utile et instructif

        http://sebsauvage.net/safehex.html

        http://assiste.free.fr/

        frequenter ccm est tres bien aussi ; y'a des personnes tres competentes (beaucoup plus que moi )

        bon courage
        0