Scan hijack

kido10 Messages postés 24 Statut Membre -  
 g3n-h@ckm@n -
bonjour, depuis quelque jours je suis envahi de pub intempestive, je me suis donc dit qu'un virus ou autre trainer dans mon pc, j'ai donc fait un scan ave malwarebytes en mode sans echec mais il n'a rien trouver, j'ai donc fait un scan avec hijack mais je ne sais pas interpreter donc si quelqu'un pourait m'aider svp

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:17:56, on 08/11/2012
Platform: Unknown Windows (WinNT 6.02.0208)
MSIE: Internet Explorer v10.0 (10.00.8400.0000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
C:\Users\Mandy\AppData\Local\Lollipop\nejjq.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\WINDOWS\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=247820
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=247820
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=247820
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Logitech SetPoint - {AF949550-9094-4807-95EC-D1C317803333} - C:\Program Files\Logitech\SetPointP\32-bit\SetPointSmooth.dll
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Mandy\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" -s
O4 - HKCU\..\Run: [nejjq] "c:\users\mandy\appdata\local\lollipop\nejjq.exe" nejjq
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files (x86)\Common Files\LogiShrd\eReg\SetPoint\eReg.exe
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~2\NVIDIA~1\3DVISI~1\nvStInit.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\x64\maconfservice.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\WINDOWS\System32\msdtc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\WINDOWS\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\WINDOWS\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\WINDOWS\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\WINDOWS\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\WINDOWS\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7415 bytes

18 réponses

  1. g3n-h@ckm@n
     
    salut les sites porno c'est pas cool pour le pc... ^^

    =============

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan.
    s'il n'est pas sur le bureau , il est à la racine de ton disque système ( généralement C:\ )

    Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Ne transmets pas le lien de suppression !!!
    0
  2. kido10 Messages postés 24 Statut Membre
     
    je suis une fille qui ne va pa sur les site porno et il n'y a que moi qui me sert du pc lol je vais suivre ce que tu me dis de faire merci
    0
  3. g3n-h@ckm@n
     
    alors uqelqu'un s'est deja servi de ton pc sans que tu le voies ^^
    0
  4. kido10 Messages postés 24 Statut Membre
     
    le scan se bloque a un moment et les barre ne bougent plus jai essayer avec le prescan aussi :(
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    t'es pas assez pâtient laisse tourner

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
  7. kido10 Messages postés 24 Statut Membre
     
    ah ok desoler je laisse tourner merci
    0
  8. kido10 Messages postés 24 Statut Membre
     
    voila pour le scan !!!!
    https://forums-fec.be/upload/www/index.php?action=d&step=3
    0
    1. kido10 Messages postés 24 Statut Membre
       
      http://cjoint.com/12nv/BKjbRydwSN7.htm
      0
  9. g3n-h@ckm@n
     
    verifie que tu ne veuilles rien recuperer de la dedans c'est une vieille installation de windows qui te prend quand meme 130 Go de place pour rien !

    C:\Windows.old

    ==================

    Attention !!! pense à re-désactiver tes protections

    Clique sur ce lien : https://www.cjoint.com/?BKjeoi0pIHN

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  10. g3n-h@ckm@n
     
    pas bon ton lien colle le contenu du rapport ici
    0
    1. kido10 Messages postés 24 Statut Membre
       
      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1108 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      Mandy : Windows 8 Release Preview (64 bits)

      Switchs : https://gen-hackman.kanak.fr/

      New restorepoint created


      Script : 10:36:21

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      ¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

      Value Deleted : [HKU\S-1-5-21-1383550198-1702966216-3247760594-1001\Software\Microsoft\Internet Explorer\Toolbar]:Locked
      Value Deleted : [HKU\S-1-5-21-1383550198-1702966216-3247760594-1004\Software\Microsoft\Internet Explorer\Toolbar]:Locked
      Value Deleted : [HKU64\S-1-5-21-1383550198-1702966216-3247760594-1001\Software\Microsoft\Internet Explorer\Toolbar]:Locked
      Value Deleted : [HKU64\S-1-5-21-1383550198-1702966216-3247760594-1004\Software\Microsoft\Internet Explorer\Toolbar]:Locked
      Key Deleted : HKU\S-1-5-21-1383550198-1702966216-3247760594-1001\Software\lollipop
      Key Deleted : HKU\S-1-5-21-1383550198-1702966216-3247760594-1001\Software\SweetIM
      Key Deleted : HKU64\S-1-5-21-1383550198-1702966216-3247760594-1001\Software\lollipop
      Key Deleted : HKU64\S-1-5-21-1383550198-1702966216-3247760594-1001\Software\SweetIM
      Key Deleted : HKLM\Software\SweetIM
      Key Deleted : HKCU\Software\Microsoft\windows\CurrentVersion\Uninstall\nejjq
      Key Deleted : HKCU64\Software\Microsoft\windows\CurrentVersion\Uninstall\nejjq

      ¤

      File Quarantined and Deleted Successfully : |A| - C:\Users\Mandy\AppData\Roaming\Mozilla\Firefox\Profiles\r6zxgql8.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
      File Quarantined and Deleted Successfully : |A| - C:\Users\Mandy\AppData\Roaming\Mozilla\Firefox\Profiles\r6zxgql8.default\searchplugins\sweetim.xml
      Folder Quarantined and Deleted Successfully : |D| - C:\8769bac4cca679c5703b8c6aebbfad08
      Folder Quarantined and Deleted Successfully : |D| - C:\ruu_log
      File Quarantined and Deleted Successfully : |A| - C:\Users\Mandy\AppData\Roaming\PC-MOI.MTBF.txt
      Folder Quarantined and Deleted Successfully : |D| - C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
      Folder Quarantined and Deleted Successfully : |D| - C:\Users\Mandy\AppData\Local\Lollipop
      Folder Quarantined and Deleted Successfully : |D| - C:\Users\Mandy\AppData\Local\Pando_Temp

      ¤¤¤¤¤¤¤¤¤¤ | MBR

      Windows Version: Professional
      Windows Information: (build 8400), 64-bit
      Base Board Manufacturer: Gigabyte Technology Co., Ltd.
      BIOS Manufacturer: Award Software International, Inc.
      System Manufacturer: Gigabyte Technology Co., Ltd.
      System Product Name: P55M-UD4
      Logical Drives Mask: 0x0000001f

      Analysis of file "C:\Pre_Scan\MBR.bin":
      Windows 7 MBR code detected

      ¤


      ¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

      Disk cleaned

      ¤


      Fin : 10:37:19

      ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
      0
  11. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
    1. kido10 Messages postés 24 Statut Membre
       
      ok jle fai tout de suite
      0
    2. kido10 Messages postés 24 Statut Membre
       
      2012/11/09 10:38:37 +0100 PC-MOI Mandy MESSAGE Starting protection
      2012/11/09 10:38:37 +0100 PC-MOI Mandy MESSAGE Protection started successfully
      2012/11/09 10:38:37 +0100 PC-MOI Mandy MESSAGE Starting IP protection
      2012/11/09 10:38:38 +0100 PC-MOI Mandy MESSAGE IP Protection started successfully
      2012/11/09 12:08:17 +0100 PC-MOI Mandy MESSAGE Starting database refresh
      2012/11/09 12:08:17 +0100 PC-MOI Mandy MESSAGE Stopping IP protection
      2012/11/09 12:08:17 +0100 PC-MOI Mandy MESSAGE IP Protection stopped successfully
      2012/11/09 12:08:19 +0100 PC-MOI Mandy MESSAGE Database refreshed successfully
      2012/11/09 12:08:19 +0100 PC-MOI Mandy MESSAGE Starting IP protection
      2012/11/09 12:08:19 +0100 PC-MOI Mandy MESSAGE IP Protection started successfully
      2012/11/09 13:22:37 +0100 PC-MOI Mandy MESSAGE Starting protection
      2012/11/09 13:22:37 +0100 PC-MOI Mandy MESSAGE Protection started successfully
      2012/11/09 13:22:37 +0100 PC-MOI Mandy MESSAGE Starting IP protection
      2012/11/09 13:22:38 +0100 PC-MOI Mandy MESSAGE IP Protection started successfully
      0
    3. kido10 Messages postés 24 Statut Membre
       
      oups je croi c celui la en fait lol

      Malwarebytes Anti-Malware (PRO) 1.65.1.1000
      www.malwarebytes.org

      Version de la base de données: v2012.11.09.04

      Windows 7 x64 NTFS
      Internet Explorer 9.10.8400.0
      Mandy :: PC-MOI [administrateur]

      Protection: Activé

      09/11/2012 12:08:42
      mbam-log-2012-11-09 (12-08-42).txt

      Type d'examen: Examen complet (B:\|C:\|E:\|)
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 433577
      Temps écoulé: 1 heure(s), 7 minute(s), 36 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 1
      C:\Users\Mandy\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

      (fin)
      0
    4. kido10 Messages postés 24 Statut Membre
       
      sa a pa marcher non? parceque c'est pas le nom de ton outil winlogon??
      0
  12. g3n-h@ckm@n
     
    ouaip c'st normal malwarebytes detecte tout ce qui s'apelle winlogon et qui est sur le bureau comme malware

    tu peux prendre n'importe quel fichier executable que tu renommes winlogon malwarebytes te dira que c'est un virus
    0
  13. kido10 Messages postés 24 Statut Membre
     
    ah ok ok jme suis dit mince sa a pas marcher lol, en tout cas je n'ai plus de pub merci bien, il va me falloir refaire la même manipulation sur l'ordi d'une ami parce que après lui avoir prêter une de mes clés usb elle se retrouve dans le même cas que moi :s
    0
  14. kido10 Messages postés 24 Statut Membre
     
    tu pourra m'aider si je poste les raport sur ce topic?
    0
  15. g3n-h@ckm@n
     
    si c est un autre pc faut faire un autre sujet ^^
    0
  16. kido10 Messages postés 24 Statut Membre
     
    ah ok lol c'était pour eviter de faire un autre sujet alors que c'est toujours moi ^^ je ferai un autre sujet donc et merci pour mon pc en tout cas !!!
    0