Hijackthis report Fermé

Question

Salut a tous


J'ai un petit probleme de spyware que j'ai du mal a regler. J'en ai virer deja pas mal mais ils reviennent tout le temps.

Bref, ma question du jour est autre. J'ai fait tourner Hijackthis et je voudrais bien que quelqu'un me dise, pour ma culture personnelle, ce qu'est cette ligne:

O17 - HKLM\System\CCS\Services\Tcpip\..\{7030EFE5-3A67-404C-821A-AA2D6A3DF754}: NameServer = 80.10.246.130 80.10.246.3

J'espere que ce n'est pas un truc qui redirige mes pages internet consulté vers une autre adresse.

@+

philae83 · Answer

Bonjour,

Bref, ma question du jour est autre. J'ai fait tourner Hijackthis et je voudrais bien que quelqu'un me dise, pour ma culture personnelle, ce qu'est cette ligne:

O17 - HKLM\System\CCS\Services\Tcpip\..\{7030EFE5-3A67-404C-821A-AA2D6A3DF754}: NameServer = 80.10.246.130 80.10.246.3

J'espere que ce n'est pas un truc qui redirige mes pages internet consulté vers une autre adresse. 

c'est ton FAI et ce doit être wanadoo non ?
les pages de redirection ce n'est pas ce numéro.
elles commencent par 85.

pour ton problème de spywares, on peut voir ca

* Télécharge  HijackThis  et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

Regis59 · Answer

Salut

Elle correspond au DNS de ton fournisseur d'accès Internet, c'est à dire Wanadoo.

A+

Jerome · Answer

Merci pour vos réponses. Je me coucherai déjà moins c...


Sinon, pour mes petits spywares, j'ai fais tourner, en mode sans echec, CCleaner, Spybot puis AVG. Quelques cookies traceurs ont été détectés mais c'est tout.

Malheureusement, même après ça, j'ai encore des fenêtres drive cleaner et truc drive qui s'ouvrent encore. Il doit donc me rester quelques bebetes.

Voila le rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:50:23, on 03/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard
hksrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\PROGRA~1\softwin\BITDEF~2\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~2\bdnagent.exe
C:\PROGRA~1\softwin\BITDEF~2\bdswitch.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\LVComS.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 207.210.117.53 www.winmx.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~2\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\softwin\BITDEF~2\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~2\bdswitch.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Global Startup: BitDefender for Yahoo! Messenger.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{7030EFE5-3A67-404C-821A-AA2D6A3DF754}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: vskype - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard
hksrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

philae83 · Answer

ok, alors * Télécharge Blacklight https://europe.f-secure.com/exclude/blacklight/index.shtml (de F-Secure) (le premier de la page) Enregistre le sur ton Bureau. Double-clique blbeta.exe Clique sur "I ACCEPT" . clique Scan puis Next<*gras> Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Jerome · Answer

OK, C'est fait.


Voila le rapport Blacklight.


Merci et @+


03/03/07 15:10:44 [Info]: BlackLight Engine 1.0.55 initialized
03/03/07 15:10:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/03/07 15:10:45 [Note]: 7019 4
03/03/07 15:10:45 [Note]: 7005 0
03/03/07 15:10:54 [Note]: 7006 0
03/03/07 15:10:54 [Note]: 7011 1640
03/03/07 15:10:54 [Note]: 7026 0
03/03/07 15:10:55 [Note]: 7026 0
03/03/07 15:10:55 [Note]: 7024 3
03/03/07 15:10:55 [Info]: Hidden process: C:\windows\system32\kndfjthblw.exe
03/03/07 15:11:41 [Note]: FSRAW library version 1.7.1021
03/03/07 15:20:53 [Info]: Hidden file: c:\WINDOWS\system32\kndfjthblw.dat
03/03/07 15:20:53 [Note]: 10002 1
03/03/07 15:20:53 [Info]: Hidden file: C:\windows\system32\kndfjthblw.exe
03/03/07 15:20:54 [Note]: 10002 1
03/03/07 15:20:54 [Info]: Hidden file: c:\WINDOWS\system32\kndfjthblw_nav.dat
03/03/07 15:20:54 [Note]: 10002 1
03/03/07 15:20:55 [Info]: Hidden file: c:\WINDOWS\system32\kndfjthblw_navps.dat
03/03/07 15:20:55 [Note]: 10002 1
03/03/07 15:25:43 [Note]: 2000 1012
03/03/07 15:28:27 [Note]: 7007 0

philae83 · Answer

parfait 

on continue

ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec

*  Télécharge  CCleaner

http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite).

Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

aide en image pour la suite
ICI   
https://forum.pcastuces.com/default.asp

à la lettre N ) Installer Brute Force Uninstaller

* télécharge Brute Force Uninstaller

http://www.merijn.org/files/bfu.zip
 

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)
 

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)
 

* télécharge Navipromo.zip (par lazzzy)

http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
et décompresse-le sur ton bureau

* Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

https://forum.pcastuces.com/default.asp#haut

à la lettre C

Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.


* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. 
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu 
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois. 

* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. 
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. 
* Clique exit pour fermer le programme BFU.
Recommence encore une fois


* Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" : 

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd" 

=> Supprime-les tous

* lance Ccleaner pour un nettoyage complet.

* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Jerome · Answer

Bon, ça commence mal !!!

Je n'ai pas pu lancer Navipromo (en mode sans echec).

J'ai un message qui me dit qu'aucun programme nest associe a ce fichier pour executer cette action. J'ai regarde dans les options de dossiers et les extension BAT sont bien associees a MS-DOS.


Je fais quoi ???

philae83 · Answer

re

à dire vrai, cela n'est jamais arrivé
essaye ce fix

http://www.dougknox.com/xp/fileassoc/batch_file_assoc.zip
puis tu relanceras ton pc et tu ré essayes navipromo

jerome · Answer

Bon, ça y est. J'ai tout fait. Merci pour tes conseils précieux. Il y avait en effet quelques merdes à éliminer.

Voila le rapport Navipromo:


Rapport Navipromo.bat 0.71 effectué le 03/03/2007 à 17:31:52,73
L'opération se déroule en mode sans échec sous le compte "j‚r“me" 

** Recherche...

1/ kndfjthblw trouvé, recherche de kndfjthblw* 
C:\WINDOWS\system32\kndfjthblw.dat
C:\WINDOWS\system32\kndfjthblw.exe
C:\WINDOWS\system32\kndfjthblw_nav.dat
C:\WINDOWS\system32\kndfjthblw_navps.dat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    kndfjthblw	REG_SZ	c:\windows\system32\kndfjthblw.exe kndfjthblw

------------------
2/ jguxtvw trouvé, recherche de jguxtvw* 
C:\WINDOWS\system32\jguxtvw.dat
C:\WINDOWS\system32\jguxtvw_nav.dat
C:\WINDOWS\system32\jguxtvw_navps.dat


------------------
Fin du rapport de recherche
Adware Navipromo trouvé 2 fois avec cette méthode 

################################################

** Nettoyage...

1/ Déplacement de kndfjthblw* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\kndfjthblw* déplacé avec succès !

 ------------------
2/ Déplacement de jguxtvw* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\jguxtvw* déplacé avec succès !

 ------------------
* Suppression clés et valeurs de registre 
1 entrées de registre netttoyées 
 

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\jguxtvw.dat
C:\Navipromo\Backups\jguxtvw_nav.dat
C:\Navipromo\Backups\jguxtvw_navps.dat
C:\Navipromo\Backups\kndfjthblw.dat
C:\Navipromo\Backups\kndfjthblw.exe
C:\Navipromo\Backups\kndfjthblw_nav.dat
C:\Navipromo\Backups\kndfjthblw_navps.dat
C:\Navipromo\Backups\pack.epk
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression
 
-------------

Rapport Navipromo.bat 0.72 effectué le 03/03/2007 à 17:33:07,28
L'opération se déroule en mode sans échec sous le compte "j‚r“me" 

## Suppression Heuristique 

* Backups :


Aucun résultat par la recherche heuristique  
 

## Fin du rapport Heuristique

philae83 · Answer

parfait,

peux tu reposter un nouveau rapport hijackthis maintenant stp

philae83 · Answer

re

* Télécharge Hoster :
http://www.funkytoad.com/download/hoster.zip

Ensuite, tu le dézippes sur ton bureau en faisant un clic droit. Extraire sur le bureau.
Lance Hoster - Toadbee et clique sur " Restore original Hosts ".

reposte un nouveau rapport hijackthis ensuite

philae83 · Answer

oui c'est bon
l'outil a changé, je n'étais pas au courant désolée

Hijackthis report

12 réponses

Discussions similaires

Newsletters