Rookit : deux entrées + mon log Hijackthis
mao_maow
Messages postés
5
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour à tous ,
J'utilise Windows (Pack2) mis à jour.
J'ai récemment lu quelques articles sur les rookit et ne me sentant pas en securité malgrés quelques utilitaires tel que : AVG antivirus, Spybot,Adaware et d'autres sites ou je scan en ligne.
Je me suis decidé à faire un scan avec Sophos anti Rookit pour voir si mon ordinateur n'en hebergait pas.
Voici ce que Sophos à trouvé :
\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74870B39-2651-4A6C-A59B-2F66602FDC67}\LocalServer32
Ses deux entrées sont soit disant impossible à supprimer pour Sophos , et ce sont des clefs cachées du registre ( hidden registry key)
Je m'interroge sur ce qu'elles sont ?
Sont elles nuisibles réellement ?
Comment les supprimer sans causer des dommages à mon pc?
J'ai egalement fait un scan avec Hijackthis que je vous met ici , met je ne crois pas avoir quoique ce soit de suspect...(?)
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Belgacom ADSL\Dragdiag.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\SOPHTEMP\sargui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\regedit.exe
E:\Musique Download\Zik Zik Zik\---\securité\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Belgacom ADSL\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB10306B-D6D2-4F08-8953-6CA715C138B5}: NameServer = 195.238.2.21 195.238.2.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Merci d'avance si vous pouvez m'aider !
bonne journée
mao_maow ^^
J'utilise Windows (Pack2) mis à jour.
J'ai récemment lu quelques articles sur les rookit et ne me sentant pas en securité malgrés quelques utilitaires tel que : AVG antivirus, Spybot,Adaware et d'autres sites ou je scan en ligne.
Je me suis decidé à faire un scan avec Sophos anti Rookit pour voir si mon ordinateur n'en hebergait pas.
Voici ce que Sophos à trouvé :
\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74870B39-2651-4A6C-A59B-2F66602FDC67}\LocalServer32
Ses deux entrées sont soit disant impossible à supprimer pour Sophos , et ce sont des clefs cachées du registre ( hidden registry key)
Je m'interroge sur ce qu'elles sont ?
Sont elles nuisibles réellement ?
Comment les supprimer sans causer des dommages à mon pc?
J'ai egalement fait un scan avec Hijackthis que je vous met ici , met je ne crois pas avoir quoique ce soit de suspect...(?)
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Belgacom ADSL\Dragdiag.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\SOPHTEMP\sargui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\regedit.exe
E:\Musique Download\Zik Zik Zik\---\securité\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Belgacom ADSL\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB10306B-D6D2-4F08-8953-6CA715C138B5}: NameServer = 195.238.2.21 195.238.2.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Merci d'avance si vous pouvez m'aider !
bonne journée
mao_maow ^^
7 réponses
salut à toi,
avant toute chose, je te conseille vivement de faire ceci:
https://leblogdeclaude.blogspot.com/2006/10/informatique-procdure-de-nettoyage.html
avant toute chose, je te conseille vivement de faire ceci:
https://leblogdeclaude.blogspot.com/2006/10/informatique-procdure-de-nettoyage.html
Voilà j'ai suivi les indications sur ton blog.
Suivi étape par étape
Je n'ai pas su enlevé ceci en mode sans echec avec SmithfraudFix:
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Xulien
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Xulien\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Xulien\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
+-------
ce que j'avais avec A² squarred qui est supprimé :
Objets: Mémoire, Traces, Cookies, C:\WINDOWS\, C:\Program Files
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche
Début du scan: 19/11/2006 16:37:35
Value: HKEY_CLASSES_ROOT\CLSID\{944AD531-B09D-11CE-B59C-00AA006CB37D}\InProcServer32 --> ThreadingModel Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{D413C502-3FAA-11D0-B254-444553540000}\LocalServer32 --> ThreadingModel Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{D413C502-3FAA-11D0-B254-444553540000} --> AppID Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{944AD531-B09D-11CE-B59C-00AA006CB37D}\InProcServer32 --> ThreadingModel Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D413C502-3FAA-11D0-B254-444553540000}\LocalServer32 --> ThreadingModel Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D413C502-3FAA-11D0-B254-444553540000} --> AppID Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.MDSA Sentinel
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.MDSA Sentinel
Scanné
Fichiers: 7868
Traces: 82776
Cookies: 33
Processus: 23
Trouver
Fichiers: 0
Traces: 8
Cookies: 0
Processus: 0
Clés de Registre: 0
Fin du Scan: 19/11/2006 16:45:13
Temps du Scan: 0:07:38
Supprimé
Fichiers: 0
Traces: 0
Cookies: 0
Value: HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.MDSA Sentinel
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.MDSA Sentinel
Value: HKEY_CLASSES_ROOT\CLSID\{944AD531-B09D-11CE-B59C-00AA006CB37D}\InProcServer32 --> ThreadingModel Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{D413C502-3FAA-11D0-B254-444553540000}\LocalServer32 --> ThreadingModel Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{D413C502-3FAA-11D0-B254-444553540000} --> AppID Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{944AD531-B09D-11CE-B59C-00AA006CB37D}\InProcServer32 --> ThreadingModel Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D413C502-3FAA-11D0-B254-444553540000}\LocalServer32 --> ThreadingModel Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D413C502-3FAA-11D0-B254-444553540000} --> AppID Supprimé Trace.Registry.IMMonitor AIM Spy
Supprimé
Fichiers: 0
Traces: 8
Cookies: 0
---------------------
J'ai tout supprimé maintenant je refais un scan avec sophos antiRookit
et Un des deux est parti reste ceci :
------
Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40
Removable: No
Notes: (no more detail available)
---------------------------------------------------
Merci à qui pourra m'aider ou me conseiller!
mao_maow ^^
Suivi étape par étape
Je n'ai pas su enlevé ceci en mode sans echec avec SmithfraudFix:
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Xulien
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Xulien\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Xulien\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
+-------
ce que j'avais avec A² squarred qui est supprimé :
Objets: Mémoire, Traces, Cookies, C:\WINDOWS\, C:\Program Files
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche
Début du scan: 19/11/2006 16:37:35
Value: HKEY_CLASSES_ROOT\CLSID\{944AD531-B09D-11CE-B59C-00AA006CB37D}\InProcServer32 --> ThreadingModel Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{D413C502-3FAA-11D0-B254-444553540000}\LocalServer32 --> ThreadingModel Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{D413C502-3FAA-11D0-B254-444553540000} --> AppID Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{944AD531-B09D-11CE-B59C-00AA006CB37D}\InProcServer32 --> ThreadingModel Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D413C502-3FAA-11D0-B254-444553540000}\LocalServer32 --> ThreadingModel Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D413C502-3FAA-11D0-B254-444553540000} --> AppID Détecter: Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.MDSA Sentinel
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.MDSA Sentinel
Scanné
Fichiers: 7868
Traces: 82776
Cookies: 33
Processus: 23
Trouver
Fichiers: 0
Traces: 8
Cookies: 0
Processus: 0
Clés de Registre: 0
Fin du Scan: 19/11/2006 16:45:13
Temps du Scan: 0:07:38
Supprimé
Fichiers: 0
Traces: 0
Cookies: 0
Value: HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.MDSA Sentinel
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.MDSA Sentinel
Value: HKEY_CLASSES_ROOT\CLSID\{944AD531-B09D-11CE-B59C-00AA006CB37D}\InProcServer32 --> ThreadingModel Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{D413C502-3FAA-11D0-B254-444553540000}\LocalServer32 --> ThreadingModel Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_CLASSES_ROOT\CLSID\{D413C502-3FAA-11D0-B254-444553540000} --> AppID Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{944AD531-B09D-11CE-B59C-00AA006CB37D}\InProcServer32 --> ThreadingModel Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D413C502-3FAA-11D0-B254-444553540000}\LocalServer32 --> ThreadingModel Supprimé Trace.Registry.IMMonitor AIM Spy
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D413C502-3FAA-11D0-B254-444553540000} --> AppID Supprimé Trace.Registry.IMMonitor AIM Spy
Supprimé
Fichiers: 0
Traces: 8
Cookies: 0
---------------------
J'ai tout supprimé maintenant je refais un scan avec sophos antiRookit
et Un des deux est parti reste ceci :
------
Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40
Removable: No
Notes: (no more detail available)
---------------------------------------------------
Merci à qui pourra m'aider ou me conseiller!
mao_maow ^^
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
je suppose donc que tu as fait la procédure.
veux-tu bien faire ceci en tenant compte des indications du liens elles sont trés importantes:
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
veux-tu bien faire ceci en tenant compte des indications du liens elles sont trés importantes:
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Oké voici donc le log :
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Belgacom ADSL\Dragdiag.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Nawak.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Belgacom ADSL\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB10306B-D6D2-4F08-8953-6CA715C138B5}: NameServer = 195.238.2.21 195.238.2.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
-------------------------------------------------------------
En general je verifie sur le site : http://www.hijackthis.de/fr
si c'est plus ou moins correct si j'ai un doute je n'efface pas.
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Belgacom ADSL\Dragdiag.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Nawak.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Belgacom ADSL\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB10306B-D6D2-4F08-8953-6CA715C138B5}: NameServer = 195.238.2.21 195.238.2.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
-------------------------------------------------------------
En general je verifie sur le site : http://www.hijackthis.de/fr
si c'est plus ou moins correct si j'ai un doute je n'efface pas.
