Demande d'analyse d'un log HijackThis Fermé

Question

Bonjour, je remercie toute personne qui prendra le temps de m'aider pour me sortir de cette M.... Je m'etais déjà choppé un truc qui bloqué ma page de démarrage internet mais bon au bout de 3 jours j'ai reussi a le virer en bidouillant a fond dans la base de registre mais la je n'y arrive pas car je ne vois pas la clef, le fichier, qui fait que des que je lance internet explorer et bien ca me change ma page je dit bien internet explorer car sans redemarrer l'ordi, je rechange la page ca va marcher une fois mais pas a la 2ème fois il change la base de registre sans redemarrer wds juste internet explorer suffit...(suis je clair ?...)alors help!!  j'ai vu qu'il crée tout le temps une page sp.html  dans mes fichiers temp(local settings...) j'ai beau l'effacé elle revient tout le temps.MERCI MERCI MERCI d'avanceLogfile of HijackThis v1.97.7Scan saved at 23:38:01, on 15/06/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\DVDRAMSV.exeE:\Program Files\Norton AntiVirus
avapsvc.exeE:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32undll32.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\sstray.exeC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEE:\Telechargement Internet\HijackThis.exeC:\Program Files\Messenger\msmsgs.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Nico\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Nico\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Nico\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Nico\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Nico\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tele2internet.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.tele2internet.frR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Nico\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet ExplorerR1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: ie - {2FF5573C-0EB5-43db-A1B2-C4326813468E} - c:\windows\iehr.dllO2 - BHO: (no name) - {4F453374-E9DC-3299-D64C-B64796540465} - C:\PROGRA~1\BLEHMA~1	ons download.dll (file missing)O2 - BHO: (no name) - {55F03574-2678-4FA4-8FBB-F6ED066C6E2B} - C:\WINDOWS\System32\jbc.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Program Files\Norton AntiVirus\NavShExt.dllO2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\Documents and Settings\Nico\Application Data\winab\winab.dll (file missing)O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Documents and Settings\Nico\Application Data\winab\apilt32.dll (file missing)O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Documents and Settings\Nico\Application Data\winab\msiesh.dll (file missing)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Deadstart - {5F98C161-0994-9059-E895-61B7F42CA606} - C:\PROGRA~1\BLEHMA~1	ons download.dll (file missing)O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBarO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /rO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.htmlO8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.htmlO8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.htmlO8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.htmlO9 - Extra button: AIM (HKLM)O9 - Extra button: Messenger (HKLM)O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exeO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{B105CDB1-4FDC-4FB2-90AF-5F94B6F760E8}: NameServer = 212.151.136.254 130.244.127.170

SG1 · Answer

Bonjour, Même problème pour moi. Je bataille avec mon micro depuis trois jours sans résultat... Le premier des deux qui trouve une réponse passe un message ici..;Merci@+

puppet · Answer

Moi aussi je suis dans la meme situation, et j'ai découver a l'aide d'un log hijack qu'il y vait un dll compromettante qui revenait a chaque fois : pour moi elle s'appel knkoica.dll dans system32. Qui ne correspond a rien  de connu.J'ai donc creer un fausse dll avec du texte a l'intérieur en renomant un fichier txt. J'ai remplacer cette dll par cette fausse dll et virer les clef dans le regsitre. Et la plus rien. Il doit y avoir un programme résident quelque part  qui cherche a écrire cette dll masi je sais pas. En tout cas cette manipe permet de ne plus avoir cette page .Si ça peut vous aider

Demande d'analyse d'un log HijackThis

2 réponses

Discussions similaires