quelqu'un peut il analyser mon hijackthis SVP ? - Sécurité - Windows & Software
Marsh Posté le 26-02-2005 à 22:55:28
Ce n'est pas un spyware, c'est un ver.
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [Network Host Service] kfmzolx32.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Network Host Service] kfmzolx32.exe
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Et supprime:
winmon32.exe
kfmzolx32.exe
Vide la corbeille. Redémarre en mode normal et poste un nouveau log.
Marsh Posté le 27-02-2005 à 13:31:02
Bonjour Acrobaze
tout d'abord, merci d'avoir pris du temps pour me répondre ... J'ai suivi tous tes conseils (installé en + google toolbar). Voici donc le hijackthis ...
Logfile of HijackThis v1.99.1
Scan saved at 13:32:53, on 27/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCBF9D11-302D-4094-B6D4-6C9EFD83FB2C}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
Merci d'avance !
Marsh Posté le 27-02-2005 à 14:12:18
Cela semble bon en effet. Mais j'ai un message à l'ouverture : "le fichier hpzrp306.ddl de "inconnu" est introuvable". Cela met mon firewall en dysfonctionnement et après quelques secondes, mes périphériques se réinstallent automatiquement et le firewall se remet OK (tout cela à chaque démarrage ...). Ce n'est pas très génant mais peut être inquiétant ???
En tous les cas, merci encore pour ton aide précieuse ....
Marsh Posté le 27-02-2005 à 14:13:53
isa62185 a écrit : Bonsoir |
A vue de nez vite fait (ce qui ne dispense pas d'une analyse sur leur site).
Pas kewl:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
Spybot c'est bien quand on le fait tourner à la demande et qu'il ferme sa gueule le reste du temps, sinon c'est une saloperie.
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
Skwa struc?
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
Depuis quand il a besoin d'être en tâche de fond lui?
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
Même remarque
O4 - HKLM\..\Run: [Network Host Service] kfmzolx32.exe
Suspect ce truc. Ca vient de la planète Glorgxkltgpzr,f35 ?
O4 - HKLM\..\Run: [adiras] adiras.exe
NEIN !!! NON !!! NIET!!! POU!!!
Marsh Posté le 27-02-2005 à 14:18:21
spybot une saloperie y a que teatimer qui merde chez moi le bho fonstionne tres bien
Marsh Posté le 27-02-2005 à 14:20:28
BanditFlo a écrit : spybot une saloperie y a que teatimer qui merde chez moi le bho fonstionne tres bien |
La veille permanente est effectivement une vraie saleté parano qui peut amener une quantité inimaginable de merdes dans le bon fonctionnement du système. Je n'aime guère Spybot malgré le fait qu'il est (trop) pêrformant. Je lui préfère infiniement Ad Aware ou MS anti-spyware.
Marsh Posté le 27-02-2005 à 14:34:13
donc si je compends bien il faut que je vire spybot au plus vite ? par contre je pensais qu'Adiras servait pour le modem ? hpztsb06.exe kfmzolx32.exe --> rien trouvé pour ces 2 là. Par où dois je commencer ????
Marsh Posté le 27-02-2005 à 14:36:30
isa62185 a écrit : donc si je compends bien il faut que je vire spybot au plus vite ? par contre je pensais qu'Adiras servait pour le modem ? hpztsb06.exe kfmzolx32.exe --> rien trouvé pour ces 2 là. Par où dois je commencer ???? |
A la rigueur tu peux le garder, à condition de désactiver la vaccination. Enfin c'est un conseil que je donne.
En ce qui concerne Adiras, ça me parait louche mais heureusement qu'on dit que c'est à vue de pif et que ça ne dispense pas d'aller faire l'analyse surleur site.
Dans ce genre de chose il faut commencer par lire chaque mot, chaque terme. Exacetement comme une dissertation au lycée. Allez au boulot!
edit: tu n'espère tout de même pas qu'on fasse des recherches poussées à ta place? On se limite au conseils d'ordre général qui restent des conseils.
Marsh Posté le 27-02-2005 à 14:54:11
j'ai bien compris le message et rassures toi je n'attendais pas non plus que tu fasses "tout le boulot"", de toute les façons tu ne le pourrais pas puisque ce n'est pas toi qui appuie sur les touches ! c'est justement en allant faire des recherches sur ADIRAS, que les avis sont différets ... alors que faire ?? de toutes les façons, je risque simplement de devoir réintaller mon modem ... d'autre part, pour mes fichiers venant de la planête XYZ, je n'ai en effet rien trouvé sur eux. Je fixed ceux qui doivent l'être. Par contre, mes compétences étant très limitées (celà fait très longtemps que j'ai quitté le lycée !), je ne sais pas comment retirer nero + Elby check des taches de fond ...
merci pour tous ces conseils !
Marsh Posté le 27-02-2005 à 15:00:42
isa62185 a écrit : j'ai bien compris le message et rassures toi je n'attendais pas non plus que tu fasses "tout le boulot"", de toute les façons tu ne le pourrais pas puisque ce n'est pas toi qui appuie sur les touches ! c'est justement en allant faire des recherches sur ADIRAS, que les avis sont différets ... alors que faire ?? de toutes les façons, je risque simplement de devoir réintaller mon modem ... d'autre part, pour mes fichiers venant de la planête XYZ, je n'ai en effet rien trouvé sur eux. Je fixed ceux qui doivent l'être. Par contre, mes compétences étant très limitées (celà fait très longtemps que j'ai quitté le lycée !), je ne sais pas comment retirer nero + Elby check des taches de fond ... |
Ne touche à rien.
Je t'ai dit que c'était bon.
Quel est le message d'erreur exactement ?
Marsh Posté le 27-02-2005 à 15:08:06
OK. Lorsque je redémarre mon PC, securitoo de wanadoo se met en marche, avec le firewall en dysfonctionnement. Après quelques secondes (env 20), tous mes périphériques se réinstallent (imprimante, scanner) sauf 1 pour lequel j'ai une fenêtre d'erreur qui m'indique :"le fichier hpzrp306.dll de "inconnu" est introuvable". Il me propose de le chercher à partir d'un CD ou d'un fichier .. Je fais annuler. De là, le firewall se met OK et je peux me connecter à Wanadoo, sinon, je ne le pouvais pas. Sinon est que le fait d'avoir installer MSN peut occasionner tous ces prob ? car comme un fait du hazard, c'est depuis ce jour, que j'ai des probs ... Merci de ton aide.
Marsh Posté le 27-02-2005 à 15:10:03
Et ceci :
Pasteque de plomb,
Tu as commis trois erreurs :
1) tu as pris le vieux log avant nettoyage,
2) même là, tu as loupé:
winmon32.exe
3) "A vue de nez vite fait (ce qui ne dispense pas d'une analyse sur leur site)."
Le site de qui ? Ce n'est pas le site d'HijackThis, même s'il s'en est approprié le nom!
On pourrait ajouter d'autres choses...comme à propos d'Adiras.exe..
Marsh Posté le 27-02-2005 à 15:15:33
hpzrp306.dll est sûrement un composant du pilote d'imprimante.
Marsh Posté le 27-02-2005 à 15:23:16
ok je vais tout réinstaller. Merci encore de ton aide ... je viens de m'inscrire sur ce forum .. il n'est pas évident de "déceler" la bonne personne compétente en la matière. pour ma part, je crois l'avoir trouvée en ton nom ... A bientôt !
Marsh Posté le 27-02-2005 à 15:31:45
Il est donné là :
systemroot+\system32\spool\drivers\w32x86\3\hpzrp306.dll
donc c'est l'imprimante, à 99%.
Marsh Posté le 27-02-2005 à 17:29:47
acrobaze a écrit : Et ceci : |
Tu cherches à faire un concours ou quoi à te lire?
On peut rajouter l'utilité d'avoir Nero ou Elby en services sauf cas très spécifiques si ce n'est bouffer des ressources?
Marsh Posté le 26-02-2005 à 22:29:30
Bonsoir
Quelqu'un pourrait il m'aider en analysant mon hijackthis SVP ? je n'arrive pas à me débarrasser de spyware .. malgré ... spybot, ad-aware, cwsinstal .... (pour info, anti virus securitoo.com de wanadoo également installé....) -
mille merci à l'avance !
Logfile of HijackThis v1.99.1
Scan saved at 22:32:19, on 26/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Network Host Service] kfmzolx32.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Network Host Service] kfmzolx32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCBF9D11-302D-4094-B6D4-6C9EFD83FB2C}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe