Analyse de mon fichier Hijackthis
seb
-
Axl Virus-Killer Messages postés 465 Statut Membre -
Axl Virus-Killer Messages postés 465 Statut Membre -
j'ai un problème depuis plus d'une semaine: qd je suis connecté à Internet (avec wanadoo adsl) au bout de quelques instants je suis déconnecté. Dans le gestionnaire des tâches je vois que des programmes se chargent automatiquement puis je suis déconnecté. J'ai tout essayé, ad aware, spybot, regcleaner, firewall, etc. mais cette saloperie ne veut pas partir! Pourtant j'avais vu que ca provenait d'un dialer (CAX) que je bien sur viré ainsi que les clés registre mais ça revient sans arrêt
voici mon log :
Logfile of HijackThis v1.97.7
Scan saved at 00:05:21, on 14/04/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\WF2K.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Documents and Settings\SEB\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dykzij.t.rack.cc/sp.php (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://dykzij.t.rack.cc/sp.php (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dykzij.t.rack.cc/hp.php (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dykzij.t.rack.cc/sp.php (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://dykzij.t.rack.cc/hp.php (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dykzij.t.rack.cc/sp.php (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://dykzij.t.rack.cc/sp.php (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dykzij.t.rack.cc/sp.php (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://dykzij.t.rack.cc/hp.php (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS\System32\DReplace.dll
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOCUME~1\SEB\LOCALS~1\Temp\msjfbj.dll (file missing)
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinFast_2K] C:\WINDOWS\System32\WF2K.EXE
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SimpleBT] C:\Program Files\SimpleBT\SimpleBT.exe -check
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [System Process] C:\WINDOWS\svchost.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: PartyPoker.com (HKLM)
O9 - Extra 'Tools' menuitem: PartyPoker.com (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potb_x.cab
O16 - DPF: {00000000-0000-0000-0000-d4c4b96b0d97} -
O16 - DPF: {00000000-8c7d-4ea8-b113-9163c935d38e} -
O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} -
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37871.6603587963
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7812B02E-C2FD-4488-B771-801CBDC1BD03}: NameServer = 80.10.246.130 80.10.246.3
J'ai un doute sur le loader.cab mais de toute facon il est endommagé
Merci de me dire ce que je pourrais faire
voici mon log :
Logfile of HijackThis v1.97.7
Scan saved at 00:05:21, on 14/04/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\WF2K.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Documents and Settings\SEB\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dykzij.t.rack.cc/sp.php (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://dykzij.t.rack.cc/sp.php (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dykzij.t.rack.cc/hp.php (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dykzij.t.rack.cc/sp.php (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://dykzij.t.rack.cc/hp.php (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dykzij.t.rack.cc/sp.php (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://dykzij.t.rack.cc/sp.php (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dykzij.t.rack.cc/sp.php (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://dykzij.t.rack.cc/hp.php (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS\System32\DReplace.dll
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOCUME~1\SEB\LOCALS~1\Temp\msjfbj.dll (file missing)
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinFast_2K] C:\WINDOWS\System32\WF2K.EXE
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SimpleBT] C:\Program Files\SimpleBT\SimpleBT.exe -check
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [System Process] C:\WINDOWS\svchost.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: PartyPoker.com (HKLM)
O9 - Extra 'Tools' menuitem: PartyPoker.com (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potb_x.cab
O16 - DPF: {00000000-0000-0000-0000-d4c4b96b0d97} -
O16 - DPF: {00000000-8c7d-4ea8-b113-9163c935d38e} -
O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} -
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37871.6603587963
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7812B02E-C2FD-4488-B771-801CBDC1BD03}: NameServer = 80.10.246.130 80.10.246.3
J'ai un doute sur le loader.cab mais de toute facon il est endommagé
Merci de me dire ce que je pourrais faire
A voir également:
- Analyse de mon fichier Hijackthis
- Fichier bin - Guide
- Fichier epub - Guide
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
- Fichier .dat - Guide
6 réponses
Salut,
Pour les processus, g une analyse complète pour toi :
--------------------------------------------------------
-- Fichier d'analyse de http://prcwin.free.fr/
-- Date : 14/4/2004
--------------------------------------------------------
--------------------------------------------------------
crazy browser.exe :
- Navigateur Internet Crazy Browser
--------------------------------------------------------
ctfmon.exe :
- Gère les technologies basées sur les langues, notamment la reconnaissance vocale et la traduction
--------------------------------------------------------
explorer.exe :
- Interface graphique de Windows. Si vous l'arrêtez, vous perdez toutes les fenêtres et les icônes du bureau
--------------------------------------------------------
hijackthis.exe :
- Logiciel qui nettoie l'ordinateur des espions
--------------------------------------------------------
lsass.exe :
- Vérifie l'authentification des utilisateurs sur l'ordinateur
--------------------------------------------------------
nvsvc32.exe :
- Aide pour les cartes graphiques NVIDIA
--------------------------------------------------------
services.exe :
- S'occupe de démarrer et d'arrêter les services de Windows (son, connexions réseau, ...)
--------------------------------------------------------
smss.exe :
- Démarre la session de l'utilisateur
--------------------------------------------------------
soundman.exe :
- Application pour gérer les entrées/sorties audio
--------------------------------------------------------
spoolsv.exe :
- Service lancé par Windows dès le démarrage du PC- Gère les fichiers qui doivent être envoyés vers l'imprimante
--------------------------------------------------------
svchost.exe :
- S'occupe de nombreux services de Windows : messages, journaux, pilotes, ... C'est pour cette raison qu'il apparaît plusieurs fois dans la liste des processus- De nombreux virus utilisent ce nom pour se dissimuler !
--------------------------------------------------------
wf2k.exe :
--------------------------------------------------------
winlogon.exe :
- Gère la fonction ctrl+alt+suppr- Gère les ouvertures et fermetures de session
C'est un site que je suis en train de faire, et qui sera prêt demain soir (j'attends que free m'ouvre la base de données !).
Voila. Bon courage. a+.
Pour les processus, g une analyse complète pour toi :
--------------------------------------------------------
-- Fichier d'analyse de http://prcwin.free.fr/
-- Date : 14/4/2004
--------------------------------------------------------
--------------------------------------------------------
crazy browser.exe :
- Navigateur Internet Crazy Browser
--------------------------------------------------------
ctfmon.exe :
- Gère les technologies basées sur les langues, notamment la reconnaissance vocale et la traduction
--------------------------------------------------------
explorer.exe :
- Interface graphique de Windows. Si vous l'arrêtez, vous perdez toutes les fenêtres et les icônes du bureau
--------------------------------------------------------
hijackthis.exe :
- Logiciel qui nettoie l'ordinateur des espions
--------------------------------------------------------
lsass.exe :
- Vérifie l'authentification des utilisateurs sur l'ordinateur
--------------------------------------------------------
nvsvc32.exe :
- Aide pour les cartes graphiques NVIDIA
--------------------------------------------------------
services.exe :
- S'occupe de démarrer et d'arrêter les services de Windows (son, connexions réseau, ...)
--------------------------------------------------------
smss.exe :
- Démarre la session de l'utilisateur
--------------------------------------------------------
soundman.exe :
- Application pour gérer les entrées/sorties audio
--------------------------------------------------------
spoolsv.exe :
- Service lancé par Windows dès le démarrage du PC- Gère les fichiers qui doivent être envoyés vers l'imprimante
--------------------------------------------------------
svchost.exe :
- S'occupe de nombreux services de Windows : messages, journaux, pilotes, ... C'est pour cette raison qu'il apparaît plusieurs fois dans la liste des processus- De nombreux virus utilisent ce nom pour se dissimuler !
--------------------------------------------------------
wf2k.exe :
--------------------------------------------------------
winlogon.exe :
- Gère la fonction ctrl+alt+suppr- Gère les ouvertures et fermetures de session
C'est un site que je suis en train de faire, et qui sera prêt demain soir (j'attends que free m'ouvre la base de données !).
Voila. Bon courage. a+.
soudman.exe c'est pas l'application du sopn c'est plutot Agobot ...
MCP 70-270 | http://www.renonce.com
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe
MCP 70-270 | http://www.renonce.com
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe
essaye avec mon fichier dans ma signature en mode sans echec
MCP 70-270 | http://www.renonce.com
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe
MCP 70-270 | http://www.renonce.com
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Attention, soudman n'est pas forcément le virus Agobot : http://www.liutilities.com/products/wintaskspro/processlibrary/soundman/
je suis d'accord mais dans ce cas le soudman.exe correct n'est pas dans system32 :o)
MCP 70-270 | http://www.renonce.com
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe
MCP 70-270 | http://www.renonce.com
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe
