Analyse hijackthis

tabla -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour,
Quelqu'un peut il faire une analyse, et me dire ce qu'il faut "virer"
Pour info, je travaille avec windows2000, AVG et Zone Alarm
Merci pour tout et à BinetôtLogfile of HijackThis v1.97.7
Scan saved at 21:07:47, on 20/07/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WINDOW~1\Server\nscm.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\BRMFRSMG.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\WINDOW~1\Server\nspm.exe
C:\WINNT\System32\WINDOW~1\Server\nsum.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINNT\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\Program Files\Fichiers communs\CMEII\CMESys.exe
C:\WINNT\System32\rundll32.exe
C:\Program Files\a2\a2guard.exe
C:\PROGRA~1\Altnet\DOWNLO~1\asm.exe
C:\Program Files\Fichiers communs\GMT\GMT.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\fajoj.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\fajoj.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spex/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\fajoj.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {F13B0197-671D-4221-AB3F-672A83556DDD} - C:\WINNT\System32\fajoj.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [x0r] C:\WINNT\System32\x0r\svnhost.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1016.dll,InstantAccess
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - Startup: Démarrer Outlook Express.lnk = C:\Program Files\Outlook Express\msimn.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1016_FR.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_FR.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09ebab37bae1e514c605/netzip/RdxIE601_fr.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_FR.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E02324B9-9136-49AF-B721-D27580BCB67E}: NameServer = 213.36.80.1 213.36.80.1

12 réponses

  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    d abord dit nous ton probleme
    un hijack s analyse pas en 2 seconde

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. tabla
       
      Re bonjour,
      C'est vrai, excusez moi. En fait je suis sûr d'avoir une "merde" car l'ordi est très lent, et pour passer d'un site à un autre, ca relève de l'exploit
      J'ai scanné avec AVG et A2
      Merci pour les solutions s'il y en a
      A +
      0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    desoler pour toi tu est viruser hijacker et autres
    arrete le p2p(kazza:et autres)
    a tu un anti virus et un pare feu
    met les a jour et passe ton anti virus en mode sans echec
    arrete de telecharger tu sera toujours viruser

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. tabla
       
      re bonjour,
      ca veut dire quoi viruser hijacker et autre ?
      et arrête le p2p (kazza et autre )
      J'ai AVG et ZA
      je suis inquiet
      A +
      0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    p2p cela veut dire log de telechargement parfois a des fin ilegal
    bon pour commencer met ton windows a jour ton anti virus aussi
    ensuite utilise ces logiciel fait les tous
    alors action numero 1
    telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser

    ftp://www.renonce.com/pub/renonce/Rimouveur.exe

    Action numero 2 :o)
    Demarrer en mode sans echec :
    tapotter sur la touche F8 sans arret desque tu allume ton PC
    et si ca ne marche pas utiliser la touche f5 a la place
    Appliquer le fichier dans le mode sans echec
    le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

    Action numero 3
    copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc
    -----------------
    Supprimer les mouchards avec AdAware ou Spybot:
    http://www.ordi-netfr.org/tutorialadaware.html
    ---------------------------
    spyboot
    http://www.safer-networking.org/index.php?page=mirrors

    -----------------------------

    utilise cet anti trojan A2
    http://www.emsisoft.net/fr/
    penser a le metre a jour avant de scanner le pc
    --------------------------
    CWShredder
    http://pageperso.aol.fr/Balltrap34/CWShredder.exe

    il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. tablas
       
      re bonjours,
      Quelques précisions, car je suis vraiment novice:
      SI j'ai bien compris:
      1) Je télécharge www.renonce.com etc.....
      2) en suite je redémarre en mode sans échec. Mais quand tu dis: applique le fichier dans le mode sans échec, ça veut dire quoi, et je fais comment ?
      3) L'action N° 3 je ne la comprends pas bien. Peux tu me l'expliquer avec des mots pour débutant ?
      Pourrais tu m'expliquer la dernière phrase:
      "il faut l'ouvrir (absolument) .....

      Je suis vraiment désolé de devoir te poser ces questions, mais j'aimerai ne pas faire de bétise
      Merci pour tes conseils
      A bientôt
      0
  4. Utilisateur anonyme
     
    salut je t'explique
    applique le fichier : veut dire tu clike 2 fois dessu pour le lancé .

    apres la fin de l'analyse ton pc va redemarre en mode normal , tu copier le resulat du scan et tu le colle ici apres balltrap tu dira koi faire ;)
    j'espere avoir etait clair
    @+++++++
    0
    1. tablas
       
      RE
      aïe aïe! j'ai du faire 1 con..ie!
      J'ai donc telechargé renonce.com.....etc comme prévu

      il m'a trouvé et m'a demandé si je voulais supprimer:
      arcldr.exe
      regid.zip
      schock_yours.zip
      c:\winnt\system32\wins
      j'ai répondu oui à chaque fois. J'aurai pas du
      ensuite en mode sans échec je n'ai pas pu retrouver le fichier en question.Comment le retouver?

      Quand je repasse maintenant en mode normal, il me met:
      "le fichier "sc" (ou 1 de ses composants) est introuvable. Vérifier que le chemin et le nom de fichier sont corrects et que les bibliothèques sont disponibles

      J'ai vraiment fait une erreur. Comment réparer et quoi faire?
      Merci de m'aider et à +
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    quand tu parle de ceci
    "le fichier "sc" (ou 1 de ses composants) est introuvable
    est tu sur du nom si tu fait continuer ton pc marche t il
    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. tablas
       
      salut,
      Oui je suis sûr du nom, et quand je fais ok mon pc marche.
      Mais cela n'est peut être pas normal
      Quant au reste , que faire ?
      0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    si c est normal rimouver ta suppr des virus et ce fichier doit eetre en rapport
    tu click sur demarrer/executer et tu tape msconfig
    tu vas sur l onglet demarrage tu cherche ce qui est en rapport tu decoche et appliquer tu redemarre une fenetre vas te dire que tu est en demarrage selectif tu coche ne plus afficher ce message et ok

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. tablas
       
      Re
      Merci tout d'abord de répondre et de m'aider.
      Je ferai ce que tu me dis de faire après 17h car je ne suis pas sur ma bécane. J'espère que cela va marcher
      Par contre j'ai une autre question
      On ne peux donc plus aller sur Kazaa et télécharger ?
      (Y'en a i qui va faire la gueule à la maison )
      Merci et à tout à l'heure
      0
  8. tablas
     
    re
    Voilà 17h
    Voici ce que j'ai trouvé dans démarrage:
    avgcc32
    realsched
    svnhost
    shareaza
    rundll32
    a2guard
    démarrer outlook e

    Lesquels je décoche
    J'ai peur de refaire de conne...
    a + et encore merci
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    normal pour kazza un de ces fichier etait coromppue
    et tu sur de l ortographe car svnhost pas bon

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. tablas
       
      Salut
      c'est bien svn host
      0
    2. tablas
       
      salut
      Il s'git bien de ce fichier
      quefaire et décoche je

      merci
      0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oui
    et suppr le fichier

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  11. msika
     
    salut a tous voila j'ai fais une analyse de mon pc avec panda j'avais 4 virus ca ete reparer mais on me dit qu'il dois rester des trace que dois faire avec hijackthis en anglais je comprend rien aider moi svp merci encore
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    fait un nettoyage de la base de registre

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. msika
       
      salut netoyer registre c'est quoi ?formater désolé je ne suis pas un expert merci encore aplus
      0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    pour nettoyer ta base utilise ceci
    jv16
    http://telecharger.01net.com/windows/Utilitaire/registre/fiches/25433.html
    (ancienne version gratuite) http://www.puntocr.it/index.php?module=downloads_riz&func=display&pid=3&lid=26
    --------------
    la tu le lance tu click sur outil registre/outil/nettoyage de registre/continuer /demarrer
    la tu le laisse faire c est un peu long
    quand il a finit
    tu click sur selectionner/selection special/element pouvant etre suppr sans risque(rond vert)
    une foi qu il les a selectionner tu click sur supprimer en bas a droite

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0