Hijack analyse svp

yo -  
SirHill Messages postés 4070 Statut Contributeur -
bonjour,
est ce que qqu'un peut m'analyser ça ?
merci

Logfile of HijackThis v1.97.7
Scan saved at 22:17:44, on 20/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\cvpss.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Winamp3\winampa.exe
C:\WINDOWS\System32\winsyst32.exe
C:\Program Files\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\messenger.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\Club-Internet\Lanceur.exe
C:\Documents and Settings\beauvery\Mes documents\programmes téléchargés\spyware\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0BF83308-D853-3EA7-D05A-65557BD57D42} - C:\WINDOWS\System32\ujbq.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\Run: [LAN Driver] landriver32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\RunServices: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\RunServices: [LAN Driver] landriver32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wssvrs.exe
O4 - HKLM\..\RunServices: [Microsoft Updater] winsys32.exe
O4 - HKLM\..\RunServices: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] lmrss.exe
O4 - HKCU\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKCU\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Sites Perso (HKLM)
O9 - Extra 'Tools' menuitem: Compaq France (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{622C4432-7FB6-4C63-BCA9-9A5F777A40EB}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15

17 réponses

  1. Badger Messages postés 591 Statut Contributeur 11
     
    salut,
    quel est le probleme ?
    0
  2. yo
     
    j'ai un cleveriehookerjeired détecté par spy et je voulais savoir si je pouvais le retriouver dans hijack
    0
  3. Badger Messages postés 591 Statut Contributeur 11
     
    vérifie ça, c'est étrange :
    C:\WINDOWS\system32\cvpss.exe
    C:\WINDOWS\System32\inetsrv\inetinfo.exe
    C:\WINDOWS\System32\carpserv.exe

    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.ex

    C:\WINDOWS\System32\GSICON.EXE

    C:\WINDOWS\System32\winsyst32.exe

    a virer :
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    04 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
    O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe
    04 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

    O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
    O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

    O4 - HKLM\..\Run: [Microsoft IT Update] winsyst32.exe

    vérifie ça :
    O4 - HKLM\..\Run: [Microsoft Update Machine] lmrss.exe

    vire ça :
    O4 - HKLM\..\RunServices: [Microsoft Update Configuration] WIN32SNC.exe

    vérifie :
    O4 - HKLM\..\RunServices: [LAN Driver] landriver32.exe

    vire :
    O4 - HKLM\..\RunServices: [Microsoft Update] wssvrs.exe
    O4 - HKLM\..\RunServices: [Microsoft Updater] winsys32.exe

    O4 - HKCU\..\Run: [Microsoft IT Update] winsyst32.exe

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    si ce n'est pas ton FAI, vire ça aussi :
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
    O17 - HKLM\System\CCS\Services\Tcpip\..\{622C4432-7FB6-4C63-BCA9-9A5F777A40EB}: NameServer = 194.117.200.10,194.117.200.15
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15

    a+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    attention
    tu lui fait virer des lignes qu il ne faut pas

    la chasse et la balltrap ma vrai passion
    voir site perso dans profil
    0
  6. Badger Messages postés 591 Statut Contributeur 11
     
    lesquels ?
    0
  7. Badger Messages postés 591 Statut Contributeur 11
     
    ne pas virer
    O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe
    O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
    escuse...
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    celle la par exemple
    O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe
    si tu as une adresse msn je te donnerais une liste de startup

    la chasse et la balltrap ma vrai passion
    voir site perso dans profil
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    pourquoi tu me parle de poster sous un autre nom je ne l ai jamais fait

    la chasse et la balltrap ma vrai passion
    voir site perso dans profil
    0
  10. Badger Messages postés 591 Statut Contributeur 11
     
    ya quiproquo, je pense juste que "yo" a déjà porter avec un autre nom et je voulais savoir pourquoi...

    un indice :
    C:\Documents and Settings\beauvery\Mes documents\programmes téléchargés\spyware\hijack\HijackThis.exe

    jbeauvery ayant déjà poster hier j'ai fais le raprochement..
    ça n'a rien a voir avec l'informatique, c'étais juste pour comprendre...

    toi, je me doutes que tu n'as aucun interet a poster sous un autre nom, tu fais d'ailleurs un énorme boulot sur CCM.. on ne peut etre qu'admiratif devant un tel dévoument..

    bonne nuit,
    a+
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    je t ai demander sur un autre post si tu as une adresse msn pour te filer des fichiers text pour hijack

    la chasse et la balltrap ma vrai passion
    voir site perso dans profil
    0
  12. Badger Messages postés 591 Statut Contributeur 11
     
    je ne l'ai pas vu...
    oui j'ai MSN.. **********@hotmail.com
    a+
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    efface ton message je tappel sur msn

    la chasse et la balltrap ma vrai passion
    voir site perso dans profil
    0
  14. yo
     
    Désolé les gars d'être à la source de ces quiprocos. C'était pas mon intention. Il faut dire que je pratique très peu les forum et ne connais pas les habitudes. J'ai changé tout simplement de nom parceque je me cherche une signature qui me plait. Mais c'est vrai que vous suivez vos correspondances, alors... Bref je suis le 1er à constater depuis hier que vous etes les 2 seuls à répondre aussi souvent et je tire mon chapeau.
    Pour revenir à nos moutons, j'ai pas tout viré: je me suis basé sur la date des fichiers pour savoir s'ils avaient été installés recemment ou pas (ci-joint mon nouveau rapport hijack)
    DONC :
    adware mis à jour + scan => OK
    CWshredder mis à jour + scan => OK
    ménage sur hijack => OK
    anti trojan A2 pas réussi à télécharger (prob de connexion?)

    et enfin spybot mis à jour + scan => PAS OK, il y a toujours ce foutu cleveriehooker.jeired.

    Je suis déçu de ne pas avoir su résoudre le problème ce soir. Mais il est trop tard, maintenant il faut que je vous laisse. Je reprendrai contact avce vous d'ici qq semaines (je pars en voyage).
    A plus et merci YO

    ps: j'ai quand meme installé mozilla et ça semble beaucoup plus stable

    Logfile of HijackThis v1.97.7
    Scan saved at 23:17:19, on 20/07/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\HPConfig.exe
    C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
    C:\WINDOWS\System32\inetsrv\inetinfo.exe
    C:\WINDOWS\System32\carpserv.exe
    C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\System32\dslagent.exe
    C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\Winamp3\winampa.exe
    C:\Program Files\Grisoft\AVG6\avgcc32.exe
    C:\Program Files\Nikon\NkView5\NkvMon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\messenger.exe
    C:\Documents and Settings\beauvery\Mes documents\programmes téléchargés\spyware\hijack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {0BF83308-D853-3EA7-D05A-65557BD57D42} - C:\WINDOWS\System32\ujbq.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
    O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
    O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
    O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
    O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
    O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
    O4 - HKLM\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
    O4 - HKLM\..\Run: [LAN Driver] landriver32.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
    O4 - HKLM\..\Run: [Msn Messenger Service] messenger.exe
    O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
    O4 - HKLM\..\RunServices: [Microsoft Updater] winsys32.exe
    O4 - HKLM\..\RunServices: [Msn Messenger Service] messenger.exe
    O4 - HKLM\..\RunServices: [Microsoft Update Machine] lmrss.exe
    O4 - HKCU\..\Run: [Msn Messenger Service] messenger.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Sites Perso (HKLM)
    O9 - Extra 'Tools' menuitem: Compaq France (HKLM)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{622C4432-7FB6-4C63-BCA9-9A5F777A40EB}: NameServer = 194.117.200.10,194.117.200.15
    0
  15. Badger Messages postés 591 Statut Contributeur 11
     
    ya pas de mal, j'avais juste repéré ce détails dans "mes documents".

    mozilla est une très bonne chose, j'en suis personnelement très content..
    on reprend ça a ton retour de vacances...

    alors bonne vacances et @+ sur les forum CCM..
    0