Demande d'analyse d'un log HijackThis
jmo
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour à tous,
Quelqu'un peut-il m'aider à analyser mon log de HijackThis ?
Merci.
Logfile of HijackThis v1.97.7
Scan saved at 0:11:02, on 17/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\ipzv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Softwin\BitDefender Standard Edition\bdmcon.exe
C:\Program Files\Softwin\BitDefender Standard Edition\bdswitch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\sdkqr32.exe
C:\Documents and Settings\user\Local Settings\Temp\Répertoire temporaire 2 pour hjt.zip\HijackThis.exe
C:\WINDOWS\regedit.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\botbn.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://botbn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\botbn.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://botbn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\botbn.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {B9B34100-D040-0B2A-82D1-D1F5061D5342} - C:\WINDOWS\ntbw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Standard Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Standard Edition\\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Standard Edition\bdswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Quelqu'un peut-il m'aider à analyser mon log de HijackThis ?
Merci.
Logfile of HijackThis v1.97.7
Scan saved at 0:11:02, on 17/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\ipzv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Softwin\BitDefender Standard Edition\bdmcon.exe
C:\Program Files\Softwin\BitDefender Standard Edition\bdswitch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\sdkqr32.exe
C:\Documents and Settings\user\Local Settings\Temp\Répertoire temporaire 2 pour hjt.zip\HijackThis.exe
C:\WINDOWS\regedit.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\botbn.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://botbn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\botbn.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://botbn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\botbn.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {B9B34100-D040-0B2A-82D1-D1F5061D5342} - C:\WINDOWS\ntbw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Standard Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Standard Edition\\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Standard Edition\bdswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
A voir également:
- Demande d'analyse d'un log HijackThis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Nouveau tag analysé - Forum Huawei
10 réponses
Salut
Ca serait bien qu'en plus de l'analyse tu precises ce qui te derange.
Mais visiblement tu doit etre detourné des sites que tu visites vers d'autres pages.
http://www.spywarezapper.com/html/index.html
Telecharges le et mets le a jour avant de le lancer.@+
Ca serait bien qu'en plus de l'analyse tu precises ce qui te derange.
Mais visiblement tu doit etre detourné des sites que tu visites vers d'autres pages.
http://www.spywarezapper.com/html/index.html
Telecharges le et mets le a jour avant de le lancer.@+
Merci pour ton aide wael.
J'essaierai ton anti-spyware (j'ai déjà Ad-Aware mais il n'a rien détecté).
La page de démarrage de mon Internet Explorer 6 se change automatiquement en res://botbn.dll/index.html même si je modifie les paramètres dans les options internet ou dans la base de registres (d'après le log de HijackThis).
De plus, mon antivirus BitDefender a détecté 2 fichiers infectés irréparables : botbn.dll (mis en quarantaine) et eesri.dll (non mis en quarantaine).
Je ne sais pas quoi faire de ces 2 fichiers puisqu'ils ne sont pas réparables et je n'arrive pas à trouver à quoi ils servent (rien trouvé dessus sur le net).
En plus de modifier ma page de démarrage de IE, il ouvre également systématiquement un pop-up d'un moteur de recherche. Là aussi, impossible de m'en débarrasser.
Enfin, Kazaa Lite ne se lance plus depuis (message d'erreur type où il me demande si je veux envoyer un mail à Microsoft pour signaler l'erreur).
Bref, c'est pas la joie ! ;-)
Si quelqu'un a une idée, merci d'avance.
J'essaierai ton anti-spyware (j'ai déjà Ad-Aware mais il n'a rien détecté).
La page de démarrage de mon Internet Explorer 6 se change automatiquement en res://botbn.dll/index.html même si je modifie les paramètres dans les options internet ou dans la base de registres (d'après le log de HijackThis).
De plus, mon antivirus BitDefender a détecté 2 fichiers infectés irréparables : botbn.dll (mis en quarantaine) et eesri.dll (non mis en quarantaine).
Je ne sais pas quoi faire de ces 2 fichiers puisqu'ils ne sont pas réparables et je n'arrive pas à trouver à quoi ils servent (rien trouvé dessus sur le net).
En plus de modifier ma page de démarrage de IE, il ouvre également systématiquement un pop-up d'un moteur de recherche. Là aussi, impossible de m'en débarrasser.
Enfin, Kazaa Lite ne se lance plus depuis (message d'erreur type où il me demande si je veux envoyer un mail à Microsoft pour signaler l'erreur).
Bref, c'est pas la joie ! ;-)
Si quelqu'un a une idée, merci d'avance.
Supprimes les deux fichiers que bitdefender a detecté.Ca sera deja ca de fait.
Main,Search Page ca c'est du spy .Si ca va pas avec spyware zapper on trouveras autre chose.Mais saches que t'auras jamais la paix tant que tu desinstalles pas Kazaa.
Main,Search Page ca c'est du spy .Si ca va pas avec spyware zapper on trouveras autre chose.Mais saches que t'auras jamais la paix tant que tu desinstalles pas Kazaa.
J'hésite un peu à supprimer ces 2 dll étant donné que je n'ai aucune idée de leur utilisation. Je peux peut-être les renommer (sous DOS) dans un premier temps ?
La page de démarrage de IE reprend la dll botbn.dll (mise en quarantaine) dans son URL. Ca ne signifie pas que cette dll est nécessaire à IE ?
Pour Kazaa, j'étais au courant qu'il était bourré de spywares mais je n'avais pas eu trop de problèmes jusqu'ici. Je vais sans doute le désinstaller pour voir ce que cela donne.
Ce qui est pénible, c'est qu'il y a une fonction quelque part qui remodifie systématiquement mes pages de démarrage et de recherche de IE mais je ne la trouve pas. Peut-être est-ce C:\WINDOWS\SYSTEM32\IPZV.EXE ou C:\WINDOWS\SDKQR32.EXE car je n'ai trouvé aucune info sur ces exécutables ?
Thx.
La page de démarrage de IE reprend la dll botbn.dll (mise en quarantaine) dans son URL. Ca ne signifie pas que cette dll est nécessaire à IE ?
Pour Kazaa, j'étais au courant qu'il était bourré de spywares mais je n'avais pas eu trop de problèmes jusqu'ici. Je vais sans doute le désinstaller pour voir ce que cela donne.
Ce qui est pénible, c'est qu'il y a une fonction quelque part qui remodifie systématiquement mes pages de démarrage et de recherche de IE mais je ne la trouve pas. Peut-être est-ce C:\WINDOWS\SYSTEM32\IPZV.EXE ou C:\WINDOWS\SDKQR32.EXE car je n'ai trouvé aucune info sur ces exécutables ?
Thx.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut essay de fixer ces ligne
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\botbn.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://botbn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\botbn.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://botbn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\botbn.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {B9B34100-D040-0B2A-82D1-D1F5061D5342} - C:\WINDOWS\ntbw32.dll
aussi j'ai un doute sur ces lignes elles me parraissent louche
C:\WINDOWS\sdkqr32.exe
C:\WINDOWS\system32\ipzv.exe
generalement c les spyware qui prenne des nom melanger comme c 2 fichiers
@+++++++++++++++++++++
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\botbn.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://botbn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\botbn.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://botbn.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\botbn.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {B9B34100-D040-0B2A-82D1-D1F5061D5342} - C:\WINDOWS\ntbw32.dll
aussi j'ai un doute sur ces lignes elles me parraissent louche
C:\WINDOWS\sdkqr32.exe
C:\WINDOWS\system32\ipzv.exe
generalement c les spyware qui prenne des nom melanger comme c 2 fichiers
@+++++++++++++++++++++
BitDefender, Ad-Aware, SpywareZapper et HighjackThis n'ont rien pu faire, le problème se pose toujours.
J'ai l'impression que ce sont ipzv.exe et/ou sdkqr32.exe qui sont coupables. Ces exécutables se lancent auotamtiquement lorsque j'ouvre IE.
Comment faire pour empêcher ces 2 exécutables de se lancer à chaque démarrage de IE ?
Thx.
J'ai l'impression que ce sont ipzv.exe et/ou sdkqr32.exe qui sont coupables. Ces exécutables se lancent auotamtiquement lorsque j'ouvre IE.
Comment faire pour empêcher ces 2 exécutables de se lancer à chaque démarrage de IE ?
Thx.
salut as tu essay de suprimer ipzv.exe et/ou sdkqr32.exe avec hijackthis je pense qu'il les detecte ta qu'a les cocher ensuite tu clike sur fix et fix aussi les ligne que je t'ai donner plus haut normalement ca deverai marcher
@++++++++++++++++++++
@++++++++++++++++++++
salut
je rajoute suprime via l explorateur si tu trouve ceci
C:\WINDOWS\botbn.dll
et pour ceux la
C:\WINDOWS\sdkqr32.exe
C:\WINDOWS\system32\ipzv.exe
idem mais en mode sans echec
je rajoute suprime via l explorateur si tu trouve ceci
C:\WINDOWS\botbn.dll
et pour ceux la
C:\WINDOWS\sdkqr32.exe
C:\WINDOWS\system32\ipzv.exe
idem mais en mode sans echec
Apparemment, il s'agit du trojan winshow.u mais impossible de le virer malgré toutes mes tentatives. La registry est systématiquement remodifié et botbn.dll recréé dans c:\windows.
oki
fait ceci
Copier ce contenu dans le bloc notes. Appelez-le fix.reg .Sauvegardez-le type " tout fichier ". Puis double-cliquez dessus pour enlever certaines entrées possibles du registre.
Texte à taper :
Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
Pour désinstaller le " réinstalleur " secret, faites ceci :
Démarrer->exécuter-> taper regedit
Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Surlignez Windows dans le panneau de gauche.
Cherchez dans le panneau droit : AppInit_Dlls . Cliquez droit et choisissez " modifier données binaires ".
Voici ce que l'on peut voir s'il y a une dll cachée à réinstaller :
----------------------------
This is now one looks when there is only one file loading.
0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
0010 77 00 73 00 5C 00 73 00 w.s.\.s.
0018 79 00 73 00 74 00 65 00 y.s.t.e.
0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
0030 67 00 2E 00 64 00 6C 00 g...d.l.
0038 6C 00 00 00 l...
Ceci est un exemple. Notez le nom qui apparaît.
---------------------------
Démarrez " TheKillBox ". Dans Paste Full Path of File to Delete" copiez : c:\windows\system32\lenomtrouvé.dll
Dans le menu, choisissez "Delete on Reboot ".
Dans la fenêtre qui apparaît, cliquez le menu " File ", puis "Add File". c:\windows\system32\lenomtrouvé.dll
doit apparaître dans cette fenêtre. Puis dans le menu " Action " choisisssez : "Process and Reboot".
Redémarrer l'ordinateur.
Rechercher dans le registre la dll qui doit être visible maintenant supprimer l'entrée. Puis supprimer le fichier.
fait ceci
Copier ce contenu dans le bloc notes. Appelez-le fix.reg .Sauvegardez-le type " tout fichier ". Puis double-cliquez dessus pour enlever certaines entrées possibles du registre.
Texte à taper :
Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
Pour désinstaller le " réinstalleur " secret, faites ceci :
Démarrer->exécuter-> taper regedit
Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Surlignez Windows dans le panneau de gauche.
Cherchez dans le panneau droit : AppInit_Dlls . Cliquez droit et choisissez " modifier données binaires ".
Voici ce que l'on peut voir s'il y a une dll cachée à réinstaller :
----------------------------
This is now one looks when there is only one file loading.
0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
0010 77 00 73 00 5C 00 73 00 w.s.\.s.
0018 79 00 73 00 74 00 65 00 y.s.t.e.
0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
0030 67 00 2E 00 64 00 6C 00 g...d.l.
0038 6C 00 00 00 l...
Ceci est un exemple. Notez le nom qui apparaît.
---------------------------
Démarrez " TheKillBox ". Dans Paste Full Path of File to Delete" copiez : c:\windows\system32\lenomtrouvé.dll
Dans le menu, choisissez "Delete on Reboot ".
Dans la fenêtre qui apparaît, cliquez le menu " File ", puis "Add File". c:\windows\system32\lenomtrouvé.dll
doit apparaître dans cette fenêtre. Puis dans le menu " Action " choisisssez : "Process and Reboot".
Redémarrer l'ordinateur.
Rechercher dans le registre la dll qui doit être visible maintenant supprimer l'entrée. Puis supprimer le fichier.
