Log hijackthis !!

Log hijackthis !! - Sécurité - Windows & Software

Marsh Posté le 05-09-2004 à 15:51:15    

Logfile of HijackThis v1.97.7
Scan saved at 15:35:03, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dllcon.exe
C:\WINDOWS\System32\taskmgr32.exe
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spools.exe
D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe
C:\WINDOWS\System32\wuamgrd65.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
D:\Video & Son\Son\Lecture\Winamp 5.03\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Software & reseau\Sécurité\Spyware\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Program Files\Common Files\midaddle\midaddle.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search - {2CF0B992-5EEB-4143-99C0-5297EF71F444} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [HRZq] C:\windows\temp\HRZq.exe
O4 - HKLM\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\Run: [Xuj] C:\documents and settings\admin\local settings\temp\Xuj.exe
O4 - HKLM\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\RunServices: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKCU\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKCU\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
 
 
-----------------------------
 
En fait certains trucs me paraissent suspects genre : xuj.exe, rsc.exe (parait que c'est un backdoor) et taskmgr32.exe (parait que c'est un worm). Merci beaucoup de votre aide  :D

Reply

Marsh Posté le 05-09-2004 à 15:51:15   

Reply

Marsh Posté le 05-09-2004 à 16:00:14    

O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Program Files\Common Files\midaddle\midaddle.dll  
O3 - Toolbar: Search - {2CF0B992-5EEB-4143-99C0-5297EF71F444} - (no file)  
O4 - HKLM\..\Run: [Microsoft Update Machine] wjizbizd.exe  
O4 - HKLM\..\Run: [MSN Update] dllcon.exe  
O4 - HKLM\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe  
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe  
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe  
O4 - HKLM\..\Run: [HRZq] C:\windows\temp\HRZq.exe  
O4 - HKLM\..\Run: [Microsoft IT Update] Rsc.exe  
O4 - HKLM\..\Run: [Xuj] C:\documents and settings\admin\local settings\temp\Xuj.exe  
O4 - HKLM\..\Run: [Shell Monitor] taskmgr32.exe  
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe  
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wjizbizd.exe  
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe  
O4 - HKLM\..\RunServices: [Microsoft Update 1Machine1] wuamgrd65.exe  
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe  
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe  
O4 - HKLM\..\RunServices: [Microsoft IT Update] Rsc.exe  
O4 - HKLM\..\RunServices: [Shell Monitor] taskmgr32.exe  
O4 - HKCU\..\Run: [Shell Monitor] taskmgr32.exe  
O4 - HKCU\..\Run: [Microsoft IT Update] Rsc.exe  
O4 - HKCU\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe  
O4 - HKCU\..\Run: [MSN Update] dllcon.exe  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
TOUS les *.exe des fins de lignes O4.
 
------------------------------------------
 
Poste un nouvel HijackThis.  
Parce que ce spools.exe n'est pas très net, non plus. On va voir.

Reply

Marsh Posté le 05-09-2004 à 16:06:01    

C:\WINDOWS\System32\dllcon.exe  
C:\WINDOWS\System32\taskmgr32.exe  
C:\WINDOWS\System32\wuamgrd65.exe  
 
Voilà ceux que tu trouveras cerainement.
Les autres, ce sont peut-être d'anciennes infections, mais recherche-les quand même.
 
----------
Et spools.exe ne vaut pas un clou. Mais on verra après.

Reply

Marsh Posté le 05-09-2004 à 16:11:44    

GenZo-w a écrit :


 
C:\WINDOWS\System32\dllcon.exe
C:\WINDOWS\System32\taskmgr32.exe
 
à enlever, mais je ne sais pas si c'est pas plus virus que spy
 
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
 
spyware livré avec msn, à enlever
 
C:\WINDOWS\System32\spools.exe
 
saloperie dont le nom ressemble au vrai spoolsv.exe
 
C:\WINDOWS\System32\wuamgrd65.exe
 
saloperie aussi
 
O3 - Toolbar: Search - {2CF0B992-5EEB-4143-99C0-5297EF71F444} - (no file)
 
inutile je pense
 
O4 - HKLM\..\Run: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [HRZq] C:\windows\temp\HRZq.exe
O4 - HKLM\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\Run: [Xuj] C:\documents and settings\admin\local settings\temp\Xuj.exe
O4 - HKLM\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\RunServices: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKCU\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKCU\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe


 
voila mais je serais toi je passerai d'abord un scan en ligne chez secuser par exemple car il doit y avoir des virus RBOT et agobot peut-être.
 
ensuite refais un scan de Hijack This pour voir ce qu'il reste dans tout ce que je t'ai dit. Puis tu arrêtes les processus malsains dans le gestionnaire de tâche et tu fix les lignes avec Hijack This
 
edit : oula t'es trop rapide pour moi Acrobaze sur ce coup là :D


Message édité par minipouss le 05-09-2004 à 16:13:10
Reply

Marsh Posté le 05-09-2004 à 16:16:16    


Ben \Messenger Plus! 3, en lui-même semble être intéressant. Mais quand les gars l'installent, ils ne font pas attention et ils installent avec les trop fameux "sponsors".
Alors là, c'est galère.

Reply

Marsh Posté le 05-09-2004 à 16:23:43    

exact, d'accord avec toi. encore une fois :D
 
edit : en tout cas ça a l'air pas mal virus et un peu spyware tout ça.


Message édité par minipouss le 05-09-2004 à 16:24:10
Reply

Marsh Posté le 05-09-2004 à 16:34:58    

merci beaucoup je vais tester tout ça now  :)

Reply

Marsh Posté le 05-09-2004 à 16:40:03    

minipouss a écrit :

edit : en tout cas ça a l'air pas mal virus et un peu spyware tout ça.


 
Faut bien amener un peu de variété...ce serait lassant!  :D

Reply

Marsh Posté le 05-09-2004 à 16:50:56    

clair [:darkmavis]

Reply

Marsh Posté le 05-09-2004 à 17:20:38    

Logfile of HijackThis v1.97.7
Scan saved at 17:19:14, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spools.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
E:\Software & reseau\Sécurité\Spyware\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
 
----------------------
 
Voici le new log... Alors pour spools.exe ? Je supprime également Msgplus.exe ?  :)

Reply

Marsh Posté le 05-09-2004 à 17:20:38   

Reply

Marsh Posté le 05-09-2004 à 17:24:23    

essaye de récupérer Hijack This v 1.98.2 c'est le dernier sorti.
 
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\spools.exe  
 
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe  
 
je cherche pour le dp-him et le autoupdater ;) mais ils me semblent louches

Reply

Marsh Posté le 05-09-2004 à 17:26:46    

O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe  
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"  
O4 - HKLM\..\Run: [Print Spooler] spools.exe  
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe  
O4 - HKCU\..\Run: [Print Spooler] spools.exe  
 
Donc pareil:
-Cocher les lignes
-Cliquer "Fix checked"
-Supprimer en mode ss échec:
 
C:\WINDOWS\uptodate.exe  
C:\Program Files\AutoUpdate <-dossier
C:\WINDOWS\System32\spools.exe  (à ne pas confondre avec spoolsv.exe)
 
Et ce sera clean!  :hello:

Reply

Marsh Posté le 05-09-2004 à 17:28:05    

pour le dp-him c'est ça : http://pestpatrol.com/pestinfo/d/dealhelper_com.asp mais tu n'as peut-être plus l'exe. de toute façon fixe le et recherche le fichier pour le virer ;)
 
par contre gearsec c'est avec itunes ;)


Message édité par minipouss le 05-09-2004 à 17:28:48
Reply

Marsh Posté le 05-09-2004 à 17:33:53    

Yes....y'en a une floppée de dp-him!
http://research.pestpatrol.com/Ana [...] 001701.asp

Reply

Marsh Posté le 05-09-2004 à 17:40:47    

c'est justement là que je l'ai trouvé :) j'ai choisi celui qui se trouve dans le répertoire system32

Reply

Marsh Posté le 05-09-2004 à 17:54:00    


Donc, pour synthétiser, que ce soit clair pour GenZo:
 
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe  
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe  
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"  
O4 - HKLM\..\Run: [Print Spooler] spools.exe  
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe  
O4 - HKCU\..\Run: [Print Spooler] spools.exe  
 
Donc pareil:  
-Cocher les lignes  
-Cliquer "Fix checked"  
-Supprimer en mode ss échec:  
 
C:\WINDOWS\uptodate.exe  
C:\Program Files\AutoUpdate <-dossier  
C:\WINDOWS\System32\spools.exe  (à ne pas confondre avec spoolsv.exe)  
C:\WINDOWS\System32\dp-him.exe  

Reply

Marsh Posté le 05-09-2004 à 17:54:05    

Je laisse gearsec alors ? Je sais que c'est pour graver avec iTunes mais est-ce-que c'est vraiment utile ? (désolé pour le retard mais je me bats au tel avec free !!)

Reply

Marsh Posté le 05-09-2004 à 17:54:47    

Vois ci-dessus.

Reply

Marsh Posté le 05-09-2004 à 17:57:05    

http://hijackthis.de


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
Reply

Marsh Posté le 05-09-2004 à 17:58:47    

Slyde a écrit :

http://hijackthis.de


 
Ha, oui! Il est marrant ce truc!  :lol:  :hello:

Reply

Marsh Posté le 05-09-2004 à 17:59:11    

oui on connait et on s'en sert un peu :D

Reply

Marsh Posté le 05-09-2004 à 18:15:57    

J'arrive pas à enlever spools.exe. J'ai pourtant coché et cherché en mode sans échec mais il revient ensuite...
 
Logfile of HijackThis v1.98.2
Scan saved at 18:12:18, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spools.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
 
-----------------------------
 
D'ailleurs ça aussi c'est bizarre : O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Reply

Marsh Posté le 05-09-2004 à 18:21:18    

Essaye comme ceci :
 
ControlAltSuppr
 
Termine d'abord le processus spools.exe  
 
Puis reprend:
-cocher et fixer les lignes ds HijackThis
-suppression en mode ss échec.
 
-------
 
Oui, il reste 2/3 trucs à fixer, mais c'est mineur.
 
 
Edit : et s'il résiste, on sortira l'artillerie! Non, mais!  :lol:


Message édité par acrobaze le 05-09-2004 à 18:22:01
Reply

Marsh Posté le 05-09-2004 à 18:26:33    

c'est un service donc faut l'arrêter avant non?

Reply

Marsh Posté le 05-09-2004 à 18:34:12    

Logfile of HijackThis v1.98.2
Scan saved at 18:31:09, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
 
------------------------------
 
Apparement c'est bon pour spools.exe donc on range l'artillerie  :lol:  
 
Autrement il reste encore quelques trucs à fix ? Je vous remercie pour votre aide très très précieuse  :jap:

Reply

Marsh Posté le 05-09-2004 à 18:37:05    

Yes!
 
Donc ceci, à cocher et fixer, puis redémarrer:
 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)  
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)  
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  

Reply

Marsh Posté le 05-09-2004 à 18:40:30    

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  est pas super utile non?
 
idem pour le update de java sun? :)

Reply

Marsh Posté le 05-09-2004 à 18:48:43    


Oui, c'est même plombant...
 
Démarrer->exécuter->taper  msconfig
 
Décocher:
QuickTime\qttask.exe
\Real\Update_OB\realsched.exe
Java\j2re1.4.2_05\bin\jusched.exe  
 
Mais ça, ce ne sont pas des spywares.  
Bon, enfin, c'est une question de choix.

Reply

Marsh Posté le 05-09-2004 à 18:49:42    

Voilà tout est fait !! Merci beaucoup :)

Reply

Marsh Posté le 05-09-2004 à 18:50:52    


C'est tout bon? A+, GenZo! :hello:

Reply

Marsh Posté le 05-09-2004 à 18:56:15    

Oui tout est bon apparement !! @+ et merci encore ! :D
 
Logfile of HijackThis v1.98.2
Scan saved at 18:55:46, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab

Reply

Marsh Posté le 05-09-2004 à 19:06:06    

:lol: maintenant Msconfig est au démarrage  
 
A+ :hello:

Reply

Marsh Posté le 05-09-2004 à 19:13:21    


Accepte le démarrage sélectif..."Ne plus afficher...."
pour faire disparaître msconfig.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed