> Tous les forums > Forum Sécurité
 besoin aide pour lire rapport
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
LUCYA
  Posté le 25/02/2005 @ 19:22 
Aller en bas de la page 
Petit astucien
bonjour j'aurais besoin de votre aide pour savoir si il y a des choses a supprimer Merci beaucoup de votre aide LUCYA Logfile of HijackThis v1.99.1 Scan saved at 13:19:07, on 2005-02-25 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\NVATray.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\System32\wuauclt.exe E:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\PROGRA~1\NORTON~1\navw32.exe C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe C:\Program Files\Crazy Browser\Crazy Browser.exe C:\Program Files\HijackThis\HijackThis.exe C:\Program Files\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globetrotter.net/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [OpwareSE2] "D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKCU\..\Run: [WeatherEye] C:\program files\MétéoMédia\MétéoIMédia\WeatherEye.exe O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Allow Popups - C:\Program Files\Meaya\Popup Ad Filter\WhiteGetUrl.js O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} - http://hoylegames.sierra.com/cab/WONWebLauncherControl.cab O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - D:\Program Files\PREVX\Prevx Home\PXAgent.exe" -f -af (file missing) O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Publicité
ipl_001
 Posté le 26/02/2005 à 00:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir LUCYA, bonsoir à tous, Peut-être que je dors, mais je ne vois rien ! Ton rapport me semble propre !
aki_sakura
 Posté le 26/02/2005 à 10:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour à tous [hello] J'aurais aussi besoin d'aide pour interprêter le rapport HJT joint. Sur la machine d'un vieil ami j'ai -avec Spybot et Ad-Aware- supprimé pas moins de 187 mal&spywares... Mais il en reste qui résistent à SB et AdW. Je me suis bien pris la tête une partie de la nuit avec le superbe travail de ipl_001 sur HJT, mais à mon âge et avec juste 3 petites années de maniement du mulot, je me sens un peu juste... Alors si quelque Astucien voulait me donner un peu de son temps... D'avance merci. [chinois] Logfile of HijackThis v1.99.0 Scan saved at 19:59:14, on 25/02/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\isrvs\desktop.exe C:\windows\system32\lufqhpj.exe C:\PROGRA~1\MESSAG~1\StartMessager.exe C:\PROGRA~1\Wanadoo\CnxMon.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\WINDOWS\system32\RunDll32.exe C:\windows\system32\packager.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Folding@Home\winFAH.exe C:\Program Files\Folding@Home\FahCore_82.exe C:\Documents and Settings\Cricri\Bureau\HijackThis.exe C:\Program Files\Norton AntiVirus\navapsvc.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.42.87.219/sidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.42.87.219/sidesearch.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.42.87.219/sidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing) O2 - BHO: ohb - {988CAFC4-DC0D-4D8C-A35E-5028ABE9E641} - C:\WINDOWS\system32\ic2_win.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\system32\dsktrf.dll O3 - Toolbar: Begin2Search.com Bar - {207AEF46-0596-4966-A7BF-098F247E85BB} - C:\WINDOWS\system32\ic2_win.dll O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RSync] C:\WINDOWS\system32\netsync.exe O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [lufqhpj] c:\windows\system32\lufqhpj.exe O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Folding@Home 5.03.lnk = ? O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Mp3tout - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\system32\Mp3tout (file missing) O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/ O15 - Trusted Zone: www.master69.biz O15 - Trusted Zone: www.sgrunt.biz O15 - Trusted Zone: www.yeak.net O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/installer-hidden-test.cab O16 - DPF: {0191ABF4-9421-435E-9FFD-CD827A2A82D8} - http://ultimateplugin.com/tl7000.dll O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab O16 - DPF: {62A5AA62-E375-24DC-B199-93ABCD0257AE} - http://acces-direct.net/17165/videohard.exe O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx O16 - DPF: {869518C3-FBA5-4D75-8A14-7047437E9498} (Jacques Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Bernadette.cab O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://kit.carpediem.fr/10598/TMC.exe O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://kit.carpediem.fr/15239/xgratos.exe O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
LUCYA
 Posté le 26/02/2005 à 14:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Merci... ipl_001 pour ton avis car j'avais voulue télécharger overnet et un avertissement de NOrton pour backdoor.blarul a ouvert j'ai arrêtée le téléchargement et scannée mais j'aimais mieux avoir votre avis alors bon samedi et merci encore LUCYA
ipl_001
 Posté le 26/02/2005 à 15:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour LUCYA, aki_sakura, bonjour à tous,
Merci... ipl_001 pour ton avis car j'avais voulue télécharger overnet et un avertissement de NOrton pour backdoor.blarul a ouvert j'ai arrêtée le téléchargement et scannée mais j'aimais mieux avoir votre avis alors bon samedi et merci encore
de rien ! Bon samedi, LUCYA ! aki_sakura, je te remercie pour tes mots gentils ! oui, il y a encore des éléments infectieux visibles dans ton rapport HijackThis ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Modifié par ipl_001 le 26/02/2005 15:05
aki_sakura
 Posté le 26/02/2005 à 15:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Merci ipl_001, merci surtout pour ton travail sur HJT. C'est très aimable à toi de vouloir me donner une réponse rapide, mais si tu as un quelconque pb, je peux aussi attendre un peu... [clindoeil]
ipl_001
 Posté le 26/02/2005 à 15:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Rebonjour aki_sakura, LUCYA, rebonjour à tous, aki_sakura, il aurait été mieux de démarrer une nouvelle discussion pour le nouveau rapport HijackThis ! J'ai mis plus de 20 minutes... il faudra "tirer les oreilles" de ton ami car ses habitudes de navigation sont... "dangereuses" ;-) ! Vu la navigation dangereuse, j'ai fait cocher toutes les lignes O16 ! Mais d'abord, nettoyons ça ! ---édition :
aki_sakura a écrit :
Merci ipl_001, merci surtout pour ton travail sur HJT. C'est très aimable à toi de vouloir me donner une réponse rapide, mais si tu as un quelconque pb, je peux aussi attendre un peu... [clindoeil]
Merci ! C'est un grand plaisir de participer à l'aventure d'amélioration de la sécurité sur PCA !
Désinstalle cette application (si tu la trouves) dans Ajout-Suppression de programmes : - isrvs Relance un scan HijackThis et coche les lignes en gras ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.42.87.219/sidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.42.87.219/sidesearch.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.42.87.219/sidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll -> {00000000-F09C-02B4-6EC2-AD0300000000} X BHO BTGrab.dll Transponder variant -> http://www.webhelper4u.com/transponder/btgrab.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing) <- des restes d'Adware.Sa O2 - BHO: ohb - {988CAFC4-DC0D-4D8C-A35E-5028ABE9E641} - C:\WINDOWS\system32\ic2_win.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\system32\dsktrf.dll -> {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} X BHO dsktrf.dll, dsktrf1.dll Adware.Begin2Search -> http://sarc.com/avcenter/venc/data/adware.begin2search.html O3 - Toolbar: Begin2Search.com Bar - {207AEF46-0596-4966-A7BF-098F247E85BB} - C:\WINDOWS\system32\ic2_win.dll O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RSync] C:\WINDOWS\system32\netsync.exe O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe -> Desktop Search X desktop.exe iSearch "Desktop Search" hijacker desktop X desktop.exe Added by the SDBOT.MD WORM! O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe -> ffis X ffisearch.exe iSearch "Desktop Search" hijacker O4 - HKLM\..\Run: [lufqhpj] c:\windows\system32\lufqhpj.exe O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe -> farmmext X farmmext.exe Transponder parasite updater/installer -> http://www.doxdesk.com/parasite/Transponder.html O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Folding@Home 5.03.lnk = ? O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present <- si ce n'est pas toi qui a mis ça, coche ! O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present <- si ce n'est pas toi qui a mis ça, coche ! O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Mp3tout - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\system32\Mp3tout (file missing) O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/ O15 - Trusted Zone: www.master69.biz O15 - Trusted Zone: www.sgrunt.biz O15 - Trusted Zone: www.yeak.net O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/installer-hidden-test.cab O16 - DPF: {0191ABF4-9421-435E-9FFD-CD827A2A82D8} - http://ultimateplugin.com/tl7000.dll O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab O16 - DPF: {62A5AA62-E375-24DC-B199-93ABCD0257AE} - http://acces-direct.net/17165/videohard.exe O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx O16 - DPF: {869518C3-FBA5-4D75-8A14-7047437E9498} (Jacques Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Bernadette.cab O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://kit.carpediem.fr/10598/TMC.exe O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://kit.carpediem.fr/15239/xgratos.exe O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll -> ADW_ISEARCH.A - http://www.trendmicro.com/vinfo/grayware/graywareDetails.asp?SNAME=ADW_ISEARCH.A -> Desktop Search - http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453090748 Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Si tu le vois à temps, inserre ici ce que j'ai écrit dans le post suivant (je l'ai reporté dans le post suivant de peur que tu le rates) Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - C:\WINDOWS\BTGrab.dll - C:\WINDOWS\farmmext.exe - C:\WINDOWS\system32\rsyncmon.dll - C:\WINDOWS\system32\ic2_win.dll - C:\WINDOWS\system32\dsktrf.dll - C:\WINDOWS\system32\netsync.exe - c:\windows\system32\lufqhpj.exe - C:\WINDOWS\isrvs (supprime le dossier) (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) Si tu as des difficultés, effectue cette tache en mode sans échec ! Redémarre l'ordinateur et poste un nouveau rapport HijackThis à titre de vérification.

Modifié par ipl_001 le 26/02/2005 15:53
ipl_001
 Posté le 26/02/2005 à 15:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Rebonjour aki_sakura, rebonjour à tous, J'y pensais en rédigeant mais j'ai oublié ! Si possible, insère ceci dans l'étape précédente, après Fix Checked et avant redémarrage de l'ordinateur :
Pour se débarrasser des lignes O15, on va suivre ces conseils de Mike Burgess ( http://www.mvps.org/winhelp2002/restricted.htm ) :
Pour supprimer tous les sites de la zone "Sites sensibles" Téléchargement : DelDomains.inf ( http://www.mvps.org/winhelp2002/DelDomains.inf ) - clic droit / Enregistrer la cible sous... Utilisation : clic droit / Installer (pas besoin de redémarrer) NB : ceci supprimera toutes les entrées de "Sites de confiance" et de "Domaines".
Tout se passera très rapidement sans grand affichage sur l'écran !

Modifié par ipl_001 le 26/02/2005 15:51
aki_sakura
 Posté le 26/02/2005 à 15:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Merci beaucoup ipl_001 Comme la machine de mon ami est à 10 km de la mienne (et oui c'est ça aussi la campagne !) Je vais y aller et suivre tes recommandantions. Après quoi, je ferai un nouveau scan HJT. P.S : J'ai installé SpybotSD et Ad-Aware sur cette machine et lorsque tout sera réparé, je compte lui installer aussi Zone Alarm et FireFox et désactiver le pare-feu d'XP la passoire
Publicité
ipl_001
 Posté le 26/02/2005 à 17:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

de rien aki_sakura ! Nous allons nettoyer le système ! J'ose espérer que ton ami ne se connecte pas avec un modem 56 Ko acr il y a pas mal de dialers sur son ordinateur (des malwares qui se connectent automatiquement vers des numéros surtaxés !) Mets bien à jour ses utilitaires de sécurité avant de scanner... Protège bien son ordi ! C'est plutôt après nettoyage qu'il faudrait en parler mais...
Protection minimale : - système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases ( http://windowsupdate.microsoft.com/ ) (catég.3-paramétrage) - pare-feu bien paramétré, gratuit par exemple ZoneAlarm ( http://www.zonelabs.com/ ) (catég.2-résident) - antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit par exemple AVAST Home Edition FREE (Download http://www.avast.com/ ) avec souscription obligatoire (catég.2-résident) - antitroyen gratuit passé périodiquement, par exemple A² ( http://www.emsisoft.net/fr/software/free/ ) avec souscription obligatoire (catég.1ter-maintenance) - antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE 1.05 ( http://www.lavasoftusa.com/ ) et Spybot Search and Destroy 1.3 ( http://security.kolla.de/ ) (catég.1ter-maintenance) - comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts) (catég.3-paramétrage) - attitude vigilante quant aux dysfonctionnements de ton système (catég.3-paramétrage). - maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag) (tous ces programmes parfaitement mis à jour avant chaque utilisation). Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention" http://gerard.melone.free.fr/IT/IT-AM0.html
Lutte AntiMalware -prévention -1- Jeter Internet Explorer -2- Mettre à jour le navigateur et le système -3- Régler le système d'exploitation -4- Remplacer Microsoft Java VM par Sun Java -5- Régler Internet Explorer et Outlook -6- Installer des utilitaires résidents -7- IE-SPYAD -8- Fichier Hosts -9- Lancer des utilitaires non résidents -10- Adopter une attitude prudente -11- Tenir prêts, URLs et outils de réparation -12- Liens
aki_sakura
 Posté le 26/02/2005 à 21:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
[hello]ipl_001 J'ai essayé de suivre des conseils au plus près de mes capacités... Je poste donc le nouveau rapport HJT, avec les 2 précisions suivantes : - Je n'ai pas pu supprimer : c:\WINDOWS\BtGrab.dll c:\WINDOWS\isrvs c:\WINDOWS\System32\lufqhpj.exe J'avais chaque fois le message :"accès refusé" - Pendant le HJT Fix Checked, Spybot m'a demandé si j'acceptai les modifications de la BR et j'ai validé "allow change"par pure intuition... fut-elle bonne ? N'aurait-il pas fallu désinstaller Spybot avant le Fix Checked..? La connexion est une ADSL qui actuellement est bien plus lente que mon petit RNIS 64 [bigsmile] Mais je crois que la leçon sera retenue ! En te souhaitant une bonne soirée et un grand merci, voici le nouveau rapport. Rien ne presse car, bien que pouvant recevoir tes conseils, je ne pourrai pas les mettre en oeuvre avant lundi, mon ami étant parti voir ses enfants... Logfile of HijackThis v1.99.0 Scan saved at 19:19:29, on 26/02/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\isrvs\desktop.exe C:\windows\system32\lufqhpj.exe C:\PROGRA~1\MESSAG~1\StartMessager.exe C:\PROGRA~1\Wanadoo\CnxMon.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\WINDOWS\system32\RunDll32.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\windows\system32\calc.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Folding@Home\winFAH.exe C:\Program Files\Folding@Home\FahCore_82.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Documents and Settings\Cricri\Bureau\HijackThis\HijackThis.exe C:\Program Files\Microsoft Office\Office10\WINWORD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Folding@Home 5.03.lnk = ? O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/ O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
ipl_001
 Posté le 26/02/2005 à 21:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Rebonsoir aki_sakura, rebonsoir à tous,
aki_sakura a écrit :
[hello]ipl_001 J'ai essayé de suivre des conseils au plus près de mes capacités... Je poste donc le nouveau rapport HJT, avec les 2 précisions suivantes : - Je n'ai pas pu supprimer : c:\WINDOWS\BtGrab.dll c:\WINDOWS\isrvs c:\WINDOWS\System32\lufqhpj.exe J'avais chaque fois le message :[/blue][red]"accès refusé"
As-tu suivi cette directive :
Si tu as des difficultés, effectue cette tache en mode sans échec !
- Pendant le HJT Fix Checked, Spybot m'a demandé si j'acceptai les modifications de la BR et j'ai validé "allow change"par pure intuition... fut-elle bonne ? N'aurait-il pas fallu désinstaller Spybot avant le Fix Checked..?
Oui, tu as eu parfaitement raison de répondre comme tu l'as fait ! Non, il n'aurait pas fallu désinstaller SpyBot, juste désactiver SDHelper et TeaTimer ! Je vois qu'il y a un processus Word... il faut fermer toutes les fenêtres avant de lancer un scan ! Le rapport est bien plus propre !

Modifié par ipl_001 le 26/02/2005 21:39
ipl_001
 Posté le 26/02/2005 à 21:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Rebonsoir aki_sakura, rebonsoir à tous, Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Folding@Home 5.03.lnk = ? O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/ O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre l'ordinateur en mode sans échec. Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - C:\WINDOWS\isrvs (supprime le dossier) Redémarre l'ordinateur et poste un nouveau rapport HijackThis à titre de vérification.
aki_sakura
 Posté le 26/02/2005 à 21:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
[rougir] non ipl_001car je viens de comprendre à l'instant en lisant ta réponse que le mode sans échec concernait les suppressions que tu indiquais et non la "recherche de la date de la dernière MàJ" Je n'ai donc pas fait ces suppressions en mode sans échec... Mais je les ferai de cette façon dès lundi. Vraiment merci de ton aide qui est aussi très didactique, je suis content d'apprendre à faire autre chose que du clic de mulot !
aki_sakura
 Posté le 26/02/2005 à 22:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Merci ipl_001 Dès lundi je vais appliquer tes conseils que je pense avoir maintenant mieux compris... Et je reposterai ! Je te souhaite une belle soirée et un bon dimanche [smile]
ipl_001
 Posté le 26/02/2005 à 22:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Rebonsoir aki_sakura, rebonsoir à tous,
aki_sakura a écrit :
[rougir] non ipl_001car je viens de comprendre à l'instant en lisant ta réponse que le mode sans échec concernait les suppressions que tu indiquais et non la "recherche de la date de la dernière MàJ" Je n'ai donc pas fait ces suppressions en mode sans échec... Mais je les ferai de cette façon dès lundi.
C'est de ma faute, la ligne qui parle d'heure de mise à jour n'aurait pas du être là (j'ai oublié de la supprimer) ! Comme tu peux le voir dans mon dernières directives, je change mon discours et fait redémarrer en mode sans échec !
Vraiment merci de ton aide qui est aussi très didactique, je suis content d'apprendre à faire autre chose que du clic de mulot !
Si mon document te permet d'aider tes amis à nettoyer leur système, je suis un homme satisfait ! ;-) merci à toi ! Bon dimanche à toi !

Modifié par ipl_001 le 26/02/2005 22:09
aki_sakura
 Posté le 01/03/2005 à 23:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonsoir ipl_001 et bonsoir à tous ! Alors, reprenons... J'ai pu aller chez mon ami "risque-tout" finir le travail. Je pense avoir correctement -cette fois- suivi tes consignes. En Mode san Echec j'ai supprimé le dossier isrvs mais ce qui me "trouble" est que bien qu'il n'apparaisse plus dans le dossier C:\WINDOWS il figure toujours sur le rapport HJT aux entrées : O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll Mais bon... la machine à l'air maintenant de fonctionner normalement et la connexion ADSL semble correcte et fluide. Encore merci pour ton tutorial de HJT j'ai bien sûr un peu de difficultés mais ton travail est clair,intéressant et de bonne guidance. Logfile of HijackThis v1.99.0 Scan saved at 12:21:34, on 01/03/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\Program Files\QuickTime\qttask.exe C:\PROGRA~1\MESSAG~1\StartMessager.exe C:\PROGRA~1\Wanadoo\CnxMon.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\WINDOWS\system32\RunDll32.exe C:\windows\system32\lufqhpj.exe C:\WINDOWS\htpatch.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\windows\system32\packager.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Folding@Home\winFAH.exe C:\Program Files\Folding@Home\FahCore_82.exe C:\Program Files\Norton AntiVirus\navapsvc.exe D:\programmes\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [lufqhpj] c:\windows\system32\lufqhpj.exe O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Folding@Home 5.03.lnk = ? O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/ O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Publicité
blondin
 Posté le 02/03/2005 à 13:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Aki_sakura, Ipl_001, bonjour a tous Je fais remonter le topic : ne faudrait t'il pas faire une analyse du rapport au cas ou?.. @+
Ayora
 Posté le 02/03/2005 à 14:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Pour suivre... Bonjour lucya, blondin, aki_sakura, ipl_001 ! ; ) Aki_sakura : les entrées HJT correspondent aux éléments présents dans le registre (sauf les 02 pour lesquels les BHO sont aussi susceptibles d'être enlevés avec leurs clés de registre). Il peut très bien rester des entrées détectées par HijackThis alors que les fichiers malware ont été virés en partie ou en totalité. Essaie de fixer à nouveau, et si besoin en mode sans échec (tu devrais pourvoir virer ces reliquats). Comme toujours, la procédure de nettoyage d'ipl est claire, simple à suivre et efficace
aki_sakura
 Posté le 02/03/2005 à 22:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonsoir à tous ! merci Blondin & Ayora pour vos réponses. Si je comprends bien Ayora, il me suffirait de lancer HJT en Mode sans Echec et de faire "Fixed" toujours en M.s.E pour supprimer ces reliquats..? Avant de le faire j'attends une confirmation... Débutant à 60 printemps bien fleuris, je reste... volontaire mais prudent [smile] Bien que le didacticiel fait par ipl_001 soit très clair, je manque encore de pratique...
did71
 Posté le 02/03/2005 à 22:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir aki_sakura, bonsoir à tous, relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenetres IE fermées) : O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [lufqhpj] c:\windows\system32\lufqhpj.exe O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll redémarre en mode sans échec (info sur le mode sans échec : [url]http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020325143456924[/url] ) , supprime ces fichiers : C:\WINDOWS\dlmax.dll C:\WINDOWS\isrvs\desktop.exe > supprimes le dossier isrvs C:\WINDOWS\isrvs\ffisearch.exe > supprimes le dossier isrvs c:\windows\system32\lufqhpj.exe C:\WINDOWS\farmmext.exe C:\WINDOWS\isrvs\mfiltis.dll > supprimes le dossier isrvs a+
aki_sakura
 Posté le 03/03/2005 à 14:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour did71 et salut à tous ! Merci pour ta réponse que j'appliquerai ce wee-end [mon pote est rentré en urgence à l'hosto] par contre, je n'arrive pas à suivre le lien info sur le mode sans échec : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020325143456924 Une page blanche s'ouvre avec le message "Le document ne contient aucune donnée" (mon navigateur est FireFox 0.8). Si toi ou quelqu'un pouvait m'éclairer... [chinois]
Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
289,59 €Disque dur externe Western Digital My Book Duo 12 To USB 3.1 à 289,59 €
Valable jusqu'au 29 Février

Amazon propose actuellement le disque dur externe Western Digital My Book 12 To USB 3.1 à 289,59 livré gratuitement. On le trouve ailleurs autour à partir de 380 €. Le My Book Duo est une solution de stockage RAID de bureau d’une très grande capacité, idéale pour stocker des photos, des vidéos, des documents et de la musique. Vous pourrez l'utiliser en mode RAID 0 pour des perfomances ultrarapides (vitesse de lecture séquentielle pouvant atteindre 360 Mo/s) ou bien en mode RAID 1 pour bénéficier d’une redondance et mettre vos données en miroir sur les disques durs installés dans le boîtier. Ce dernier comporte en effet 2 disques durs Western Digital RED de 6 To adaptés aux NAS et qui peuvent être récupérés pour être utilisés ailleurs. Sachant qu'un disque dur RED 6 To coûte au moins 200 €, l'achat du Western Digital My Book Duo 12 To peut aussi être une solution économique si vous avez besoin de 2 disques durs 6 To pour votre NAS.


> Voir l'offre
19,79 €Prise connectée Wi-Fi TP-Link HS100 à 19,79 €
Valable jusqu'au 03 Mars

Amazon fait une promotion sur la prise intelligente Wi-Fi TP-Link HS100 qui passe à 19,79 € alors qu'on la trouve habituellement autour de 35 €. Cette prise peut être contrôlée à distance en utilisant l'app gratuite KASA sur votre smartphone (iOS ou Android). Vous pouvez créer des planifications horaires pour allumer ou éteindre automatiquement et quand vous le souhaitez, l'appareil qui y est branché. Pour en savoir plus, n'hésitez pas à lire notre dossier pratique Contrôler une prise électrique à distance.


> Voir l'offre
113,60 €SSD SanDisk Ultra 3D 1 To à 113,60 €
Valable jusqu'au 01 Mars

En cette période de forte remontée des prix des SSD, Amazon fait une belle promotion sur le SSD SanDisk Ultra 3D d'une capacité de 1 To qui passe à 113,60 € livré gratuitement. On le trouve ailleurs autour de 160 €. Une bonne affaire pour ce SSD performant qui offre des débits de 560 Mo/s en lecture et 530 Mo/s en écriture. Cette version est garantie 3 ans.


> Voir l'offre

Sujets relatifs
besoin d'aide pour lire rapport hijackthis
Besoin d'aide pour avis rapport
Besoin d'aide pour lira rapport hijackthis
Besoin d'aide pour interpreter rapport ZHPDiag
demande d aide pour lire ce rapport
Besoin d'aide pour rapport FindyKill
petite aide pour lire mon rapport hijackthis
besoin d'aide pour rapport hijackthis
besoin d'aide pour rapport hijackthis svp ! Merci
Besoin d'aide pour nettoyage (rapport hijackthis)
Plus de sujets relatifs à besoin aide pour lire rapport
 > Tous les forums > Forum Sécurité