Problème dialer: analyse hijackthis

yaya -  
 yaya -
Bonjour a tous.
Voila cela fait plusieurs jours que j'ai un pb avec un je ne sais trop koi : dialer,virus,trojan....je sais pas trop.

Il me crée tout un tas de fichier du type idd???.tmp.exe et win??.tmp.exe, mais il ne semble pas s'agir du virus Nimda car le programme de Symantec ne le détecte pas et je ne vois pas le fichier README.EXE

Le problème c que j'ai essayé de résoudre le pb moi meme (grosse erreur !!!!) en supprimant tout un tas de fichiers et d'entrées dans la base de registre et dans Hijackthis (alors k'en fait j'y connait pas grand chose)

Si vous pouvez m'aider c vraiment cool, voici le rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:48:22, on 19/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
D:\Program Files\BitComet\BitComet.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Yannis\Bureau\HijackThis.exe

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C87EABF-DE76-4128-8938-5D4ECB4F7A41}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C87EABF-DE76-4128-8938-5D4ECB4F7A41}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Merci d'avance

Configuration: Windows XP

1 réponse

  1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Salut,

    Personnellement je ne vois que ça dans ton log.
    Le reste faudra un Pro qui passe par là.

    017 è NAME SERVER

    Télécharge Fixwareout à partir d'un des deux sites sur ton bureau :
    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe

    Lance le fix : clique sur "Next" -> "Install" et assure toi que "Run fixit" est activé puis clique sur "Finish".
    Le fix va alors commencer - suis les messages à l'écran.
    Il te sera demandé de redémarrer ton ordinateur, fais le.
    Ton système mettra un peu plus de temps au démarrage, c'est normal.

    Quand ton système aura redémarré, suis les invites des messages. Ensuite, lance HijackThis, puis clique sur “Do a system scan only” et coche ces lignes puis clique sur "Fix checked":

    O17 - HKLM\System\CCS\Services\Tcpip\..\{2C87EABF-DE76-4128-8938-5D4ECB4F7A41}: NameServer = 80.10.246.130 80.10.246.3
    O17 - HKLM\System\CS1\Services\Tcpip\..\{2C87EABF-DE76-4128-8938-5D4ECB4F7A41}: NameServer = 80.10.246.130 80.10.246.3

    …/…

    À la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

    Au final, copie/colle le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis.

    A++
    0
    1. yaya
       
      Salut Marie et merci pour ton aide.

      Voila, j'ai suivi les étapes une à une comme tu me les avait indiquées et voici les deux rapports ::

      d'abord le premier (report.txt)


      Fixwareout ver 1.003
      Last edited 07/1/2006
      Post this report in the forums please

      Reg Entries that were deleted
      ...

      Microsoft (R) Windows Script Host Version 5.6
      Random Runs removed from HKLM
      ...

      PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
      Example ipsec6.exe is legitimate

      »»»»» Search by size and names...

      »»»»» Misc files

      »»»»» Checking for older varients covered by the Rem3 tool

      »»»»»
      Search five digit cs, dm and jb files
      This WILL/CAN also list Legit Files, Submit them at Virustotal
      Other suspects
      Directory of C:\WINDOWS\system32



      et celui de Hijackthis :


      Logfile of HijackThis v1.99.1
      Scan saved at 01:19:12, on 23/07/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Ahead\InCD\InCDsrv.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\CTsvcCDA.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\MsPMSPSv.exe
      C:\WINDOWS\Explorer.EXE
      D:\Program Files\DAEMON Tools\daemon.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Wanadoo\EspaceWanadoo.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\Program Files\Wanadoo\Watch.exe
      C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\Yannis\Bureau\HijackThis.exe

      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [DAEMON Tools] "d:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
      O17 - HKLM\System\CCS\Services\Tcpip\..\{2C87EABF-DE76-4128-8938-5D4ECB4F7A41}: NameServer = 80.10.246.1 80.10.246.132
      O17 - HKLM\System\CS1\Services\Tcpip\..\{2C87EABF-DE76-4128-8938-5D4ECB4F7A41}: NameServer = 80.10.246.1 80.10.246.132
      O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
      O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



      C'est très bizarre j'avait effecitvement viré les deux lignes O17 mais elles sont réapparues après redémarrage....tu as une idée d'où ca peux venir ?

      Merci.
      0