Sujet Précédent Sujet Suivant

Kelk1 pourrait-il regarder ma liste Hijackthi

Fermé
Fredy - 23 août 2004 à 11:47
 Utilisateur anonyme - 24 août 2004 à 21:34
Bonjour, est-ce que quelqu'un pourrait me dire si tout est normal et s'il ya des trucs louches sur mon PC

Merci

Logfile of HijackThis v1.97.7
Scan saved at 11:41:52, on 23/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\AOL 9.0a\waol.exe
C:\Program Files\AOL 9.0a\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\Program Files\InstantGet\InstantGet.exe
C:\Documents and Settings\Frédéric\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?toaqy (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?toaqy (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://find777.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?toaqy (obfuscated)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: InstantGet IECatcher - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Program Files\InstantGet\IGCatcher.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: (no name) - {C31B41B7-C53F-4DE1-9E49-4CAD82A57436} - C:\WINDOWS\System32\nppa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Program Files\InstantGet\IGIEBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [at06da26kv] C:\Program Files\Symantec\gi6rivb68s.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
O4 - HKCU\..\Run: [olehelp] C:\Program Files\Common Files\svchost.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
O4 - Global Startup: CERTIFY.BVD
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with InstantGet - res://C:\Program Files\InstantGet\IGCatcher.dll/IGLink.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with InstantGet - res://C:\Program Files\InstantGet\IGCatcher.dll/IGAll.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Run InstantGet (HKLM)
O9 - Extra 'Tools' menuitem: &InstantGet (HKLM)
O9 - Extra button: Organise-notes (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=4532735100030c99da9ee18274076591321e8833f80ab91636fd51037d3ffa27b48b2691f3b04343f15db41e9440fa97f25e05813280d97d:b0cf57d56ddd1008b8819d33c3794247
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1083599907500
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19DA0AC7-F1D2-49D9-982A-5B07AAD9B6BC}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{19DA0AC7-F1D2-49D9-982A-5B07AAD9B6BC}: NameServer = 205.188.146.146
O17 - HKLM\System\CS2\Services\Tcpip\..\{19DA0AC7-F1D2-49D9-982A-5B07AAD9B6BC}: NameServer = 205.188.146.146
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
A voir également:

14 réponses

Réponse 1 / 14
Utilisateur anonyme
23 août 2004 à 13:41
hello! sans problème (si j'ose) tu as un max de trucs à virer, urffff!
ton log hijack n'est pas à jour - recommence! (et vi!)
http://telechargement.zebulon.fr/138-HijackThis.html
comme tu es méga hijacké tu télécharges avant ces 2 logs -
ensuite tu referas un log. Hijack (fait des scans et vaccine tout!)

http://sebsauvage.net/logiciels/
SpyBot Search & Destroy / AdAware
Pour éliminer les logiciels malveillants.

les tutos :
http://www.zebulon.fr/articles/spybot_1.php
http://www.cestfacile.org/adaware6ut.htm

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 2 / 14
staf
23 août 2004 à 13:50
Bon courage mec car un PC ça ce netoye tout les jours ou presque
0
Réponse 3 / 14
Utilisateur anonyme
23 août 2004 à 13:56
http://www.emsisoft.net/fr/software/download/
ça aussi - tu télécharges et tu scannes (La version-test (Trial) de 30 jours)



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 4 / 14
GreenDust Messages postés 88 Date d'inscription samedi 31 juillet 2004 Statut Membre Dernière intervention 3 octobre 2010 1
23 août 2004 à 15:05
N'oublie pas de faire les mises a jour de tout anavt de lancer les scans
tu peux aller la aussi, ca fera pas de mal: http://www.ravantivirus.com/scan/
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
G.David Messages postés 768 Date d'inscription vendredi 21 novembre 2003 Statut Membre Dernière intervention 1 juin 2020 203
23 août 2004 à 15:25
Salut
dites kézako Hijacckthi ?!?!!?
Cordialement
G.David
ps :je me renseigne comme je viens de virer plus de 300 merdes ce matin pour 2 mails qui me sont déstinés je me suis dit :"tiens si j'allais gratouillé du coté forum sécurité pour connaitre les nouveau "
0
Réponse 6 / 14
Fredy
23 août 2004 à 21:11
voila après vérification avec spybot et adaware
mon log hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 21:06:57, on 23/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\WindUpdates\WinUpdt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\windows\rundll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\AOL 9.0a\waol.exe
C:\Program Files\AOL 9.0a\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Documents and Settings\Frédéric\Mes documents\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://line-plus.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://line-plus.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://line-plus.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://line-plus.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://line-plus.com/sweb/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?toaqy (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://line-plus.com/sweb/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://find777.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://all-find.net/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://line-plus.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=fntldr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {463826B1-3857-41AF-949D-C1325B0DABD5} - C:\WINDOWS\System32\nppa.dll (file missing)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: InstantGet IECatcher - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Program Files\InstantGet\IGCatcher.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Program Files\InstantGet\IGIEBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [at06da26kv] C:\Program Files\Symantec\gi6rivb68s.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKCU\..\Run: [olehelp] C:\Program Files\Common Files\svchost.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: CERTIFY.BVD
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with InstantGet - res://C:\Program Files\InstantGet\IGCatcher.dll/IGLink.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with InstantGet - res://C:\Program Files\InstantGet\IGCatcher.dll/IGAll.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Run InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Program Files\InstantGet\InstantGet.exe
O9 - Extra 'Tools' menuitem: &InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Program Files\InstantGet\InstantGet.exe
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=4532735100030c99da9ee18274076591321e8833f80ab91636fd51037d3ffa27b48b2691f3b04343f15db41e9440fa97f25e05813280d97d:b0cf57d56ddd1008b8819d33c3794247
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19DA0AC7-F1D2-49D9-982A-5B07AAD9B6BC}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{19DA0AC7-F1D2-49D9-982A-5B07AAD9B6BC}: NameServer = 205.188.146.146
O17 - HKLM\System\CS2\Services\Tcpip\..\{19DA0AC7-F1D2-49D9-982A-5B07AAD9B6BC}: NameServer = 205.188.146.146
O18 - Filter: text/html - {7B2A87C8-2F23-4CC1-B48A-667F9F3FE3B0} - C:\WINDOWS\System32\nppa.dll
O18 - Filter: text/plain - {7B2A87C8-2F23-4CC1-B48A-667F9F3FE3B0} - C:\WINDOWS\System32\nppa.dll
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
O21 - SSODL: System - {2E1A2C3B-D171-4457-AF44-916EB1A7D70E} - C:\WINDOWS\system32\system32.dll
0
Réponse 7 / 14
Utilisateur anonyme
23 août 2004 à 23:37
arghhhh!
ça commence fort - rien n'a changé dans ton log..... :-(

C:\Program Files\WindUpdates\WinUpdt.exe **<--virus W32/Rbot-FP
http://www.sophos.fr/virusinfo/analyses/w32rbotfp.html
tu ouvres la BdR et tu supprimes les occurences citées par Sophos (désactive la restauration système pour effectuer cette manip - ne la remet que ttes les occurences supprimées) si le fix échoue


R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://line-plus.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://line-plus.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://line-plus.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://line-plus.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRDRIC~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://line-plus.com/sweb/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?toaqy (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://line-plus.com/sweb/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://find777.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://all-find.net/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://line-plus.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) <--trojan BlazeFind - si ça vire pas en fixant voir sur pestpatrol
http://www.pestpatrol.com/pestinfo/b/blazefind.asp
O2 - BHO: InstantGet IECatcher - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Program Files\InstantGet\IGCatcher.dll

O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Program Files\InstantGet\IGIEBar.dll

les lignes 04 - arrête les processus avec ctrl+alt+supp ensuite et seulement tu pourras fixer les lignes dans l'hijack
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe** (la mm ligne que plus haut : C:\Program Files\WindUpdates)
O4 - HKCU\..\Run: [olehelp] C:\Program Files\Common Files\svchost.exe
O4 - Global Startup: CERTIFY.BVD <-- ?? c'pas l'air très bon - tu fixes et en cas de problème tu reverses cette ligne avec le fichier "backup" d'Hijack

O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com**/get_file.php?bt=ie&p=4532735100030c99da9ee18274076591321e

O18 - Filter: text/html - {7B2A87C8-2F23-4CC1-B48A-667F9F3FE3B0} - C:\WINDOWS\System32\nppa.dll
O18 - Filter: text/plain - {7B2A87C8-2F23-4CC1-B48A-667F9F3FE3B0} - C:\WINDOWS\System32\nppa.dll

O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

O21 - SSODL: System - {2E1A2C3B-D171-4457-AF44-916EB1A7D70E} - C:\WINDOWS\system32\system32.dll <-- ??
*C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême*
Tu fixes/tu fixes pas - dans tous les cas tu gardes ton fichier backup d'Hijack et tu peux tjrs reverser la ligne si ton ordi déconne (pour déconner plus qu'en ce moment, il aura du mal...lol)

récapitulation-tion :
tu fixes en mode sans échec et hors connection - tu vides ton Cache Internet (options internet : cookies - temps - historique) + Corbeille

@+ ;-)) ps : tu as 2 anti-virus?? Avast et Norton?? ça crée des conflits - il faut choisir! (surtout pour être infecté à ce point.....)

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 8 / 14
Fredy
24 août 2004 à 11:47
Merci pour tes conseils mais le prob est que je ne comprends vraiment pas grand chose en informatique.
Norton je l'ai déja désinstallé depuis un moment alors je comprends pas.
C'est quoi la restauration système (et ou on l'enlève)
et quelle touche faut-il taper au démarrage pour choisir en quel mode démarrer?

merci de votre patiente, je ne suis que néophite
0
Réponse 9 / 14
Fredy
24 août 2004 à 12:57
Faut-il que je fixe toutes les lignes que tu cite la?
0
Réponse 10 / 14
Utilisateur anonyme
24 août 2004 à 13:26
re - oui! tu dois fixer toutes ces lignes, t'es méga hijacké urfff!

mode sans échec : tu tapotes par impulsions rapides la touche F8 au démarrage de ton ordi pour accèder à ce mode (c'est moche avis!!)

restauration système :
désactiver la restauration système :
(Panneau de configuration puis dans Système. Ensuite, dans l'onglet Restauration du sytème, cochez la case Désactiver la Restauration du système sur tous les lecteurs) et n'oublie pas de la remettre qd ton pc est clean surtout!!

Pkoi on la désactive avant de scanner son ordi :
c:\system volume_information\_restore
il faut désactiver la restauration système sous Windows ME ou XP Home et XP Pro. La restauration système est en effet un nid à virus. les virus s'y trouvant sont localiser dans "system volume" ou "system restor". Une fois la désinfection effectuée on peut la réactiver. Faire toujours les scans en mode sans échec , vider après les scans le cache I-E en entier et la corbeille -
- sinon chaque erradication = 1 nouveau dossier de "sauvegarde" crée dans System volum..

tu as du boulot sur ce log. tu as intérêt à faire toutes les manips sinon tu vas pas t'en sortir - faut bosser :-))) good luck! @+




*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 11 / 14
Fredy
24 août 2004 à 17:52
Merci beaucoup pour tes explications. Pour le virus faut-il que je supprime tous les occurences (?) cités par sophos dans longlet "détails" ?
0
Réponse 12 / 14
Fredy
24 août 2004 à 18:26
Voila j'ai fait les quelques manip' (je pense correctement à part pour les 04 ou je ne suis pas sur)
Pour le 04 certify.bvd il n'a pas pu "fixer" il m'a dit que ct utilisé (mais yavai pas de procéssus ki sappelle comme çà)

voila mon log :
Logfile of HijackThis v1.98.2
Scan saved at 18:19:32, on 24/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\windows\rundll32.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Frédéric\Mes documents\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?toaqy (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?toaqy about:blank (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=fntldr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {463826B1-3857-41AF-949D-C1325B0DABD5} - C:\WINDOWS\System32\nppa.dll (file missing)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [at06da26kv] C:\Program Files\Symantec\gi6rivb68s.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: CERTIFY.BVD
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with InstantGet - res://C:\Program Files\InstantGet\IGCatcher.dll/IGLink.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with InstantGet - res://C:\Program Files\InstantGet\IGCatcher.dll/IGAll.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Run InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Program Files\InstantGet\InstantGet.exe
O9 - Extra 'Tools' menuitem: &InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Program Files\InstantGet\InstantGet.exe
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O17 - HKLM\System\CS1\Services\Tcpip\..\{19DA0AC7-F1D2-49D9-982A-5B07AAD9B6BC}: NameServer = 205.188.146.146
O21 - SSODL: System - {2E1A2C3B-D171-4457-AF44-916EB1A7D70E} - C:\WINDOWS\system32\system32.dll


Est-ce que c'est mieux ? Peut mieux faire ? ou c'est bon?

merci pour tout
0
Réponse 13 / 14
Utilisateur anonyme
24 août 2004 à 18:28
oui pour Sophos - à moins que tu trouves un fix
sur : (attention! il peut avoir d'autres alias ton virus et la recherche du coup se complique...)
liens pour download les FIX pour chaque virus (si il en existe un).

http://www.symantec.com/avcenter/tools.list.html (Symantec)
http://www.secuser.com/telechargement/index.htm#ut_desinfection (Secuser)

1 petit utilitaire "Stinger" ('éditeur McAfee.) Il permet de détecter les virus les plus courants (voir la liste)

http://vil.nai.com/vil/stinger/

des scans on-line (on sait jamais)

http://www.secuser.com (Secuser)
http://www.bitdefender.com/scan/licence.php (Bitdefender)
http://www.kasperskylabs.com/remoteviruschk.html (Kaspersky, attention un seul fichier peut être scanné à la fois)
http://security.symantec.com/ssc/home.asp?j=1&langid=fr&venid=sym&plfid=23&pkj=TEBDENTKDDASYUCPDGG (Symantec)
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (Panda Software)
http://housecall.trendmicro.com (Trend Micro)
http://www.ravantivirus.com (RAV Anti-Virus)

Norton je l'ai déja désinstallé depuis un moment alors je comprends pas <---Possible que tu es encore des traces, pas facile à désinstaller complètement Norton....
http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/fdocid/20011010123420905
(Comment désinstaller Norton AntiVirus 2003 ou toute version antérieure à l’aide de l’utilitaire de suppression Rnav2003.exe)

bonne chance - si t'as un blème - reviens sans problème :-)




*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 14 / 14
Utilisateur anonyme
24 août 2004 à 21:34
Re - Hello! au fait- il faut refixer encore ; ils en restent un peu..

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?toaqy (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?toaqy about:blank (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

c'est pas mal - tu t'en sors bien bravO!! tu t'es bien débrouillé - vraiment ;-)))

qq tours d'anti-virus et d'anti-spys - une surveillance de ton OS, des mises à jours fréquentes Windows Update et essaye de te tenir au courant de l'actu virus avec un abo. gratos à une news-letter comme chez Secuser - tu es averti par mail dès qu'un virus se pointe ....ça aide
http://www.secuser.com/newsletters/index.htm#secuser_alert
(fait un p'tit tout sur leur page d'accueil)

@+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0

Discussions similaires

url page accueil
pix -
Pierrecastor -

6 réponses
Annuaire inversé liste rouge
caro2lille -
gwendolyne72 -

13 réponses
Regarder Erkenci kus en français
Caramilli974 -
Jocelyne -

9 réponses
Rechercher un numéro sur liste rouge
pierr-89 -
KARDAN -

4 réponses
Formule magique excel??????
sexy_miss -
Raymond PENTIER -

13 réponses