Ahhhh un virus nan pas ca!!!!(log hijack a verif svp)

Ahhhh un virus nan pas ca!!!!(log hijack a verif svp) - Sécurité - Windows & Software

Marsh Posté le 08-09-2004 à 15:13:30    

voila pouvez vs verifier svp les log et me dire si ya kk chose de movais pcq j'ai plein de virus (pop up ki se lance tt seul,Norton ki deviens fou avec un fichier MSM.dll,Fps dans counter strike ki tombe a 30-40 tt les 10 sec) enfin soit ca devien insuportable aidez moi plz :'(
 
Logfile of HijackThis v1.98.0
Scan saved at 18:24:02, on 5/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\DOCUME~1\MARRO\LOCALS~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\documents and settings\marro\local settings\temp\RTRf6tfKB.exe
C:\documents and settings\marro\local settings\temp\D.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\OwyiL8gw.exe
C:\WINDOWS\System32\Qvg9Yl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\rsvp.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Marro\Bureau\stinger.exe
C:\Documents and Settings\Marro\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Marro\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Marro\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Marro\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windows\System32\wsaupdater.exe,
O2 - BHO: (no name) - {01E05118-D6F2-40E8-9F7C-5F6ECAC5E97D} - C:\WINDOWS\System32\klbbpfc.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [grdX.exe] C:\documents and settings\marro\local settings\temp\grdX.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTRf6tfKB.exe] C:\documents and settings\marro\local settings\temp\RTRf6tfKB.exe
O4 - HKLM\..\Run: [D.exe] C:\documents and settings\marro\local settings\temp\D.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [r7Ff3EV] dsustab.exe
O4 - HKLM\..\Run: [57#3X3L5P6ELE8] C:\WINDOWS\System32\Jel277g.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [awwpROZEO] dumexec.exe
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with IDM - C:\IEExt.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/ga [...] potc_x.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] .0.0.8.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0305fd [...] 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn [...] nstall.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29869237-7706-454E-9A61-13660848CF47}: NameServer = 62.235.14.4 62.235.13.199
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - (no file)
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)
O18 - Filter: text/html - {D452EB84-686B-434F-AA93-76CB01E406F9} - C:\WINDOWS\System32\klbbpfc.dll
O18 - Filter: text/plain - {D452EB84-686B-434F-AA93-76CB01E406F9} - C:\WINDOWS\System32\klbbpfc.dll
 
 
 
 
Merci d'avance.

Reply

Marsh Posté le 08-09-2004 à 15:13:30   

Reply

Marsh Posté le 08-09-2004 à 15:25:22    

Je dirais que tu t'es lancé dans un élevage [:ddr555]
Désolé de ne pas donner plus de détails, je passe vraiment en coup de vent :/
 
Puis minipouss est peut être sur le coup [:atsuko]
:hello:
 
edit : en regardant vite, sans effectuer de recherches je dirais qu'il y a cela de pas cathodique :D
 
C:\DOCUME~1\MARRO\LOCALS~1\TEMP\_VWUPSRV.EXE
C:\documents and settings\marro\local settings\temp\RTRf6tfKB.exe
C:\documents and settings\marro\local settings\temp\D.exe  
C:\WINDOWS\System32\OwyiL8gw.exe
C:\WINDOWS\System32\Qvg9Yl.exe
 
O4 - HKLM\..\Run: [grdX.exe] C:\documents and settings\marro\local settings\temp\grdX.exe
O4 - HKLM\..\Run: [RTRf6tfKB.exe] C:\documents and settings\marro\local settings\temp\RTRf6tfKB.exe
O4 - HKLM\..\Run: [D.exe] C:\documents and settings\marro\local settings\temp\D.exe
O4 - HKLM\..\Run: [r7Ff3EV] dsustab.exe
O4 - HKLM\..\Run: [57#3X3L5P6ELE8] C:\WINDOWS\System32\Jel277g.exe
O4 - HKCU\..\Run: [awwpROZEO] dumexec.exe
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
 
Attendons l'avis d'autres personnes ;)
 
 
Sinon, pourquoi avoir 2 antivirus qui tourne en même temps, purement inutile voir produisant l'effet inverse...


Message édité par piouPiouM le 08-09-2004 à 15:32:43

---------------
o(^_^o) Gimp4you : tutoriels pour Gimp 2 | Galerie (o^_^)o
Reply

Marsh Posté le 08-09-2004 à 17:17:29    

bah lekel vs me conseiller un ki marche vraiment pcq la y'en a un peu bcp marre koi :'(

Reply

Marsh Posté le 08-09-2004 à 19:26:51    

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Marro\LOCALS~1\Temp\sp.html  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Marro\LOCALS~1\Temp\sp.html  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Marro\LOCALS~1\Temp\sp.html  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - Default URLSearchHook is missing  
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windows\System32\wsaupdater.exe,  
O2 - BHO: (no name) - {01E05118-D6F2-40E8-9F7C-5F6ECAC5E97D} - C:\WINDOWS\System32\klbbpfc.dll (file missing)  
O4 - HKLM\..\Run: [grdX.exe] C:\documents and settings\marro\local settings\temp\grdX.exe  
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain  
O4 - HKLM\..\Run: [RTRf6tfKB.exe] C:\documents and settings\marro\local settings\temp\RTRf6tfKB.exe  
O4 - HKLM\..\Run: [D.exe] C:\documents and settings\marro\local settings\temp\D.exe  
O4 - HKLM\..\Run: [r7Ff3EV] dsustab.exe  
O4 - HKLM\..\Run: [57#3X3L5P6ELE8] C:\WINDOWS\System32\Jel277g.exe  
O4 - HKCU\..\Run: [awwpROZEO] dumexec.exe  
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe  
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe  
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe  
 
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] .0.0.8.cab  
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0305fd [...] 601_fr.cab  
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn [...] nstall.cab  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime les exe de fin de lignes O4.
 
Vide la corbeille. Redémarre et poste un nouvel HijackThis.

Reply

Marsh Posté le 08-09-2004 à 19:36:04    

pourquoi ne suis-je pas étonné de voir qu'emule tourne sur une machine aussi infectée que ça ? :D

Reply

Marsh Posté le 08-09-2004 à 19:45:13    

Oui....et ce ne sera pas fini...
 
Il faudra ensuite désinfecter au lance-flammes: C:\WINDOWS\System32\OwyiL8gw.exe par exemple...

Reply

Marsh Posté le 08-09-2004 à 20:05:22    

oki merci pour votre aide... bah une foi ai eu un fichier ki c dl tout seul sur emul ct bizar :s

Reply

Marsh Posté le 08-09-2004 à 20:44:47    

A faire indispensablement:


C'est minipouss qui avait proposé que quelqu'un se dévoue pour flanquer un maximum de saloperies sur sa machine ? Je crois qu'on l'a trouvé :D !


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 08-09-2004 à 21:10:12    

et oui, si gabynou est d'accord (avec copyright :D) faudrait mettre un lien vers le topic ou le mettre en screenshot.
 
à part ça Gabynou refais un log Hijack et reposte le pourqu'on finisse de nettoyer ton pc

Reply

Marsh Posté le 08-09-2004 à 21:42:29    

Voila Voila ai fe tt ce ke vs mavez dit y'en a un ki revien tjr :s et j'ai tjr le prob de FPS dans counter :p
 
Logfile of HijackThis v1.98.0
Scan saved at 21:41:23, on 8/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\DOCUME~1\MARRO\LOCALS~1\TEMP\_VWUPSRV.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\Ufryhsc.exe
C:\WINDOWS\System32\Jrkmpx.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Marro\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll (file missing)
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [57#3X3L5P6ELE8] C:\WINDOWS\System32\Ksl7qy.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with IDM - C:\IEExt.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/ga [...] potc_x.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29869237-7706-454E-9A61-13660848CF47}: NameServer = 62.235.14.4 62.235.13.199
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - (no file)
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)
O18 - Filter: text/html - {D452EB84-686B-434F-AA93-76CB01E406F9} - C:\WINDOWS\System32\klbbpfc.dll
O18 - Filter: text/plain - {D452EB84-686B-434F-AA93-76CB01E406F9} - C:\WINDOWS\System32\klbbpfc.dll
 
 
 
Lol si ai biencompris je suis un recordman la :p


Message édité par gabynou le 08-09-2004 à 21:43:22
Reply

Marsh Posté le 08-09-2004 à 21:42:29   

Reply

Marsh Posté le 08-09-2004 à 21:53:58    

alors, il faut arrêter ces processus C:\DOCUME~1\MARRO\LOCALS~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\System32\Ufryhsc.exe
C:\WINDOWS\System32\Jrkmpx.exe
 
 
puis fixer ces lignes avec Hijack This  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [57#3X3L5P6ELE8] C:\WINDOWS\System32\Ksl7qy.exe
O8 - Extra context menu item: Download with IDM - C:\IEExt.htm  celle là me parait zarbi quand même
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - (no file)
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)
O18 - Filter: text/html - {D452EB84-686B-434F-AA93-76CB01E406F9} - C:\WINDOWS\System32\klbbpfc.dll
O18 - Filter: text/plain - {D452EB84-686B-434F-AA93-76CB01E406F9} - C:\WINDOWS\System32\klbbpfc.dll
 
ensuite redémarre en mode sans échec et vire les exe mis en cause dans les processus (C:\DOCUME~1\MARRO\LOCALS~1\TEMP\_VWUPSRV.EXE , C:\WINDOWS\System32\Ufryhsc.exe , C:\WINDOWS\System32\Jrkmpx.exe et C:\WINDOWS\System32\Ksl7qy.exe )
 
Voila :)
 
mais non t'es pas un recordman regarde ce topic :D  
 
http://forum.hardware.fr/hardwaref [...] 1002-1.htm

Reply

Marsh Posté le 08-09-2004 à 21:54:44    

Control Alt Suppr
Termine les processus : Ufryhsc.exe et Jrkmpx.exe,  _VWUPSRV.EXE  
 
-----------
 
O4 - HKLM\..\Run: [57#3X3L5P6ELE8] C:\WINDOWS\System32\Ksl7qy.exe  
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - (no file)  
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)  
O18 - Filter: text/html - {D452EB84-686B-434F-AA93-76CB01E406F9} - C:\WINDOWS\System32\klbbpfc.dll  
O18 - Filter: text/plain - {D452EB84-686B-434F-AA93-76CB01E406F9} - C:\WINDOWS\System32\klbbpfc.dll  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
C:\WINDOWS\System32\Ufryhsc.exe  
C:\WINDOWS\System32\Jrkmpx.exe  
C:\DOCUME~1\MARRO\LOCALS~1\TEMP\_VWUPSRV.EXE  
 
Vide la corbeille. Redémarre. Poste un nouvel HijackThis.
 
Grilled! Et j'avais laissé le Temp!  :sleep:


Message édité par acrobaze le 08-09-2004 à 21:57:05
Reply

Marsh Posté le 08-09-2004 à 22:23:23    

Voila mieux ke ca je c po faire :'(
 
 
Logfile of HijackThis v1.98.0
Scan saved at 22:22:58, on 8/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\a2\a2guard.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Marro\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll (file missing)
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with IDM - C:\IEExt.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/ga [...] potc_x.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29869237-7706-454E-9A61-13660848CF47}: NameServer = 62.235.14.4 62.235.13.199
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)
 
 
mtn si c pas bon je format je cherche pu a comprendre :p

Reply

Marsh Posté le 08-09-2004 à 22:38:46    

Fixe cette ligne que tu as du oublier:
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)
 
--------------
 
C'est bon. Beaucoup d'éléments auraient été trouvés par Ad-Aware (anti-spyware, et à l'occasion, anti-certains-trojans).
Je te le recommande. Mettre à jour régulièrement, comme un antivirus.
 
dernière version d'AdAware SE sur:  
http://lavasoft.element5.com/french/support/download/  
Pack français sur:  
http://www.webmatze.tk/  
télécharger->installer, mettre à jour.
 
A passer régulièrement.
 
 
A+! :hello:

Reply

Marsh Posté le 08-09-2004 à 22:43:53    

il veut pas partir le dernier... enfin soit ca va deja bcp mieux y a plus de pop up enfin je peut rejouer a counter strike merci tt le monde :)
 
ps:vs avez qua faire un classement des personnes les plus inffecter :p

Reply

Marsh Posté le 09-09-2004 à 09:33:15    

bonne idée pour le classement.
 
en tout cas tout roule c'est parfait :jap:

Reply

Marsh Posté le 09-09-2004 à 09:35:56    

minipouss a écrit :

bonne idée pour le classement.


Arrêtez vous allez me donner envie de mettre ça en 1ière page du tuto Hijack :D...
 
Et je suis en train de me dire que je pourrais mettre dans le 1ier post tous ces liens vers ces topcis où ces machines sont nettoyées, qu'en pensez-vous ?


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 09-09-2004 à 09:45:02    

tous c'est beaucoup quand même. juste les plus réussis :D
 
ou en fait ceux utilisant différentes techniques : lop.com, dllfix, get_active_services et autres


Message édité par minipouss le 09-09-2004 à 09:45:53
Reply

Marsh Posté le 09-09-2004 à 09:46:54    

Genre celui-ci alors :D ? Sinon en faisant une (rapide) recherche j'en trouve 5 bons, je crois que je vais faire ça :).


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 09-09-2004 à 09:55:48    

ok on surveille et on critique [:ddr555]

Reply

Marsh Posté le 11-09-2004 à 10:52:15    

Je c ke je vais vs ennuyer mais vs pouvez po reverif encor les log pcq ya un fichier ki est apparu sur mon buro "On line Show" et il a l'icone de pleasure zone... et un otre ds lel ecteur c "Avp.exe" avec tjr la meme icone du X de pleasurez zone....
 
voila merci d'avance :p
 
Logfile of HijackThis v1.98.0
Scan saved at 10:50:11, on 11/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\Marro\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll (file missing)
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with IDM - C:\IEExt.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/ga [...] potc_x.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29869237-7706-454E-9A61-13660848CF47}: NameServer = 62.235.14.4 62.235.13.199
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)
 

Reply

Marsh Posté le 11-09-2004 à 12:37:50    

Efface ça:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
 
A part ça c'est bon :).
 
Maintenant pour la prochaine fois tu aurais pu t'en tirer tout seul:  
IL EXISTE UN ANALYSEUR DE LOGS EN LIGNE !!!


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 11-09-2004 à 21:20:58    

sanpellegrino a écrit :

Efface ça:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
 
A part ça c'est bon :).
 
Maintenant pour la prochaine fois tu aurais pu t'en tirer tout seul:  
IL EXISTE UN ANALYSEUR DE LOGS EN LIGNE !!!


 
Tu crois vraiment que c'est cette ligne qui place :
 

Citation :

sur mon buro "On line Show" et il a l'icone de pleasure zone

 :??:  :??:  :??:  
 
--------------
 
Rien n'apparaît ici. En premier lieu, va voir tout simplement dans:
panneau de configuration->ajout/suppression de programmes
s'il y a une entrée en rapport avec cete icône.
Si oui, désinstalle.
 
Si non, fais :
démarrer->exécuter->taper msconfig
Vois si une ligne évoque ton pb.  
Si oui, décoche la ligne et accepte le démarrage sélectif.

Reply

Marsh Posté le 11-09-2004 à 23:07:35    

Des logs Hijack tout le monde commence à en avoir marre, l'analyseur en ligne est là pour ça. D'ailleurs perso je trouve qu'on ne devrait plus en poster un seul en entier, c'est inutile. Seules devraient être postées les lignes qui posent problèmes... et encore, parce qu'une recherche Google résout 99% des choses, et tout le monde sait le faire.
 
C'est pour ça que je n'ai pas lu, comme il ne postait plus je me suis dit que c'était bon.
 
Maintenant msconfig et les clés RUN analysée par HJ c'est la même chose, regarder dedans ne changera rien ;)...
 
Qu'il passe un coup de Spybot, Adaware, A²,... et qu'il arrête de faire n'importe quoi sur des sites de boules :o...


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 12-09-2004 à 01:19:25    

Bonsoir!
 
Alors d'abord, je ne veux surtout pas entamer de polémique...ou autre aspect négatif avec qui que ce soit.
Je suis venu sur ce forum un peu au hasard, j'ai pu aider quelques "posteurs", et tant mieux...un échec quand même, mais bon, l'aide en ligne a ses limites.
 
Mais je ne suis pas du tout d'accord avec toi. (j'espère qu'ici, on a le droit de dire ce que l'on pense).
 
Prends n'importe quel forum anglo-saxon...computercops...cybertechhelp...spywareinfo...que demandent-ils une fois que le gars a exposé son pb? Un rapport HijackThis. Et tant que le gars n'a pas posté son rapport, corretement enregistré, dans son propre dossier, avac la dernière version, ils n'interviennent pas.
 
Un forum d'aide peut se résumer en effet à : "Hé bé t'as faire un scan chez sékiouser"...ou "Ben t'as passer The Cleaner de Moussoft".
 
En avoir marre des rapports HijackThis, je vais te dire franchement, c'est de ne pas être capable de les interpréter sérieusement soi-même.
 
Ce que tu dis est faux. Poster un rapport HijackThis partiel est une erreur profonde. La plupart du temps, les  fichiers, bho, fichiers compressés, sites de confiances et etc... sont liés entre eux. Dans un rapport HT, les choses sont liées entre elles. Aucun élément n'est dissociable du reste.
 
Enfin, on intervient ici volontairement pour aider les novices. Il ne nous appartient pas de les juger. "Sites de boules"...oui, et alors? Tu ny es jamais allé, toi?
 
Ceux que j'ai personnellemnt refusé d'aider, c'est pour les sites de "cracks", parce que c'est illégal et plusieurs  fois des sites pédophiles..he oui, ça existe. Le reste, c'estlégal, et nous n'avons pas à juger les personnes.
 
Je sais que la formation à l'interprétation d'HijackThis est complexe. Je t'encourage à t'y former, et ainsi à fréquenter un forum sensé être d'entraide t'amener à autrechose qu'à envoyer bouler les personnes en difficulté. Ou alors, si tu n'en es pas capable, faire preuve de modestie et ne pas intervenir.
 
Amicalement.
 
 
 

Reply

Marsh Posté le 12-09-2004 à 09:05:57    

C'est clair qu'il faut le log complet pour pouvoir aider.  
 
Mais par exemple j'ai demandé à Sanpellegrino de rajouter des choses au début du topic Tutoriel HijackThis (d'ailleurs si tu penses à autre choses à y mettre n'hésite pas) pour spécifier clairement que si on voit du P2P dans le log il n'y aura pas d'aide.
 
je vais demander aussi de rajouter rapidement la marche à suivre : le mettre dans son propre répertoire, faire"scan" puis "save log" et copier/coller le résu sur le forum.
 
Mais j'estime que ce n'est pas aux gens de venir ici en collant directement leur log pour qu'on le regarde. Je préfère qu'ils viennent présenter leur problème et là on peut les guider vers antivirus, désinstalleur de barres de recherche ou log HJ. D'ailleurs il me semble avoir vu sur plusieurs forums anglo-saxons que si il y a le log direct souvent ça se termine direct sans aide. Et franchement les résultats de recherche Google sur tel ou tel prog sont plus que pollués par des tonnes de log HJ et c'est dommage.
 
et juste en passant, c'est Sanpellegrino et Darxmurf qui ont  fait les topics tutos Hijack et Spywares, donc ils s'y connaissent ne t'inquiète pas ;)


Message édité par minipouss le 12-09-2004 à 09:16:02
Reply

Marsh Posté le 12-09-2004 à 10:59:11    

Acrobaze a écrit :


Alors d'abord, je ne veux surtout pas entamer de polémique...ou autre aspect négatif avec qui que ce soit.
Je suis venu sur ce forum un peu au hasard, j'ai pu aider quelques "posteurs", et tant mieux...un échec quand même, mais bon, l'aide en ligne a ses limites.
 
Mais je ne suis pas du tout d'accord avec toi. (j'espère qu'ici, on a le droit de dire ce que l'on pense).


L'aide en ligne a ses limites tant au niveau de la demande que de l'offre je trouve, j'y viens :D...

Acrobaze a écrit :


Prends n'importe quel forum anglo-saxon...computercops...cybertechhelp...spywareinfo...que demandent-ils une fois que le gars a exposé son pb? Un rapport HijackThis. Et tant que le gars n'a pas posté son rapport, corretement enregistré, dans son propre dossier, avac la dernière version, ils n'interviennent pas.
 
Un forum d'aide peut se résumer en effet à : "Hé bé t'as faire un scan chez sékiouser"...ou "Ben t'as passer The Cleaner de Moussoft".


Tu sais très bien que mes réponses ne se résument pas à "fais un scan AV, HJ,...". Je dis qu'il faut commencer par faire ça, la plupart du temps Adaware, Spybot et Secuser résolvent le problème. C'est précisément pour ça que j'ai créé avec Darxmurf ces deux topics Spywares et Hijack, pour ne pas avoir à répéter 150 fois la même chose !  
 
A début j'étais comme toi, on verra si dans trois mois tu analyseras avec autant d'enthousiasme et d'efficacité les spys des autres ;)...

Acrobaze a écrit :


Ce que tu dis est faux. Poster un rapport HijackThis partiel est une erreur profonde. La plupart du temps, les  fichiers, bho, fichiers compressés, sites de confiances et etc... sont liés entre eux. Dans un rapport HT, les choses sont liées entre elles. Aucun élément n'est dissociable du reste.


:fou: Ce que je dis est qu'il faut commencer par analyser le log en ligne ! Et si il y a des hésitations sur des lignes, les poster. Ou si ça ne marche pas, poster tout le log.
 
Tu as déjà fait un recherche sur un processus sur Google ? Ca ne te fait pas chier que les 10 premières réponses soient des logs, auxuqels parfois personne ne répond ? Alors si on peut les limiter franchement pour moi c'est tant mieux... Si tu n'est pas convaincu demande à krapaud ce qu'il en pense ;)...

Acrobaze a écrit :


Enfin, on intervient ici volontairement pour aider les novices. Il ne nous appartient pas de les juger. "Sites de boules"...oui, et alors? Tu ny es jamais allé, toi?


Je ne le juge pas, je lui dis gentiment que ses problèmes viennent de ces sites roses. C'est pas mon problème, mais si je dois lui donner des conseils pour éviter les ennuis avec IE ben le premier serait d'arrêter les sites cochons [:spamafote]...

Acrobaze a écrit :


Ceux que j'ai personnellemnt refusé d'aider, c'est pour les sites de "cracks", parce que c'est illégal et plusieurs  fois des sites pédophiles..he oui, ça existe. Le reste, c'estlégal, et nous n'avons pas à juger les personnes.


Ca c'est clair, reslis mes deux topics tu verras ce qu'on dit à propos du P2P :/... Logiquement les cracks c'est idem.
 

Acrobaze a écrit :


En avoir marre des rapports HijackThis, je vais te dire franchement, c'est de ne pas être capable de les interpréter sérieusement soi-même.


:sarcastic: des problèmes de spys j'en ai résolu suffisamment, tu es gentil...

Acrobaze a écrit :


Je sais que la formation à l'interprétation d'HijackThis est complexe. Je t'encourage à t'y former, et ainsi à fréquenter un forum sensé être d'entraide t'amener à autrechose qu'à envoyer bouler les personnes en difficulté. Ou alors, si tu n'en es pas capable, faire preuve de modestie et ne pas intervenir.


 
:D tu te prends pour qui, Schtroumpf à lunettes ? Tu veux aussi m'envoyer dans le coin tant que t'y es ? Regarde qui a fait les tutoriels de ma signature, ça te calmera.
 
Pour ce qui est de l'aide je suis le premier à vouloir aider, sinon je ne serais pas si souvent ici. Et surtout je n'aurais pas fait ces deux tutoriels ! Si je les ai fait c'est parce que c'est plus efficace, devoir me répéter à chaque fois j'en ai marre.
 
Maintenant continue à te tuer à expliquer à des gens qui ont toujours les mêmes problèmes si ça te chante, et on en reparle dans quelques temps...


Message édité par sanpellegrino le 12-09-2004 à 11:06:21

---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 12-09-2004 à 14:19:18    

Bien dit Sanpellegrino :jap:  
 
je t'avais déja défendu hein :D
 
par contre là je suis pas d'accord

Citation :

Je ne le juge pas, je lui dis gentiment que ses problèmes viennent de ces sites roses. C'est pas mon problème, mais si je dois lui donner des conseils pour éviter les ennuis avec IE ben le premier serait d'arrêter les sites cochons [:spamafote]...

Tu lui dis de passer par firefox et il sera tranquille sur les sites de cul :D (expérience inside [:ddr555])


Message édité par minipouss le 12-09-2004 à 14:19:36
Reply

Marsh Posté le 12-09-2004 à 15:37:56    

Comprends pas comment il y en a qui préfèrent encore passer un temps fou à répondre au cas par cas alors qu'un topic unique résoud 99% des problèmes...  
 
Apparemment on est sur la même longueur d'ondes :jap: (idem pour darxmurf), vive notre topic [:xp1700] !
 
Tu as bien raison pour Firefox, vais le mettre plus haut dans les conseils [:ddr555]...


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed