rapport hijackthis

rapport hijackthis - Sécurité - Windows & Software

Marsh Posté le 05-09-2004 à 13:18:08    

bonjour  :hello:  
voila j'ai un petit probleme : a chaque fois que j'entre une adresse de site fausse, je suis redirige sur une page qui s'appelle errorplace.com, et si je ne quitte pas assez vite cette page, elle me refile un virus  :cry:  
 
voila le rapport hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 13:09:56, on 05/09/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
C:\PROGRAM FILES\HIJACKTHIS.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec France Télécom
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FRANCOIS\JCCATCH.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: jimmyhelp.CBrowserHelper - {92C62F1C-117E-40E8-9182-C25F57390D69} - C:\WINDOWS\KUBTFW.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FRANCOIS\FGIEBAR.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAM FILES\GRISOFT\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [mjmlvf] C:\WINDOWS\hqkelhfrj.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O8 - Extra context menu item: Télécharger en utilisant FlashGet - D:\FRANçOIS\UTILITAIRES\FLASHGET\jc_link.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - D:\FRANçOIS\UTILITAIRES\FLASHGET\jc_all.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FRANCOIS\FLASHGET.EXE (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FRANCOIS\FLASHGET.EXE (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.wanadoo.fr (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -  
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] owdown.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.photoweb.fr/france/XUpload.ocx
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/mmed.cab
O18 - Filter: text/html - {AAF0F0E1-DA9C-11D8-9FE5-0001186E45C4} - C:\WINDOWS\SYSTEM\KFCDNO.DLL
O18 - Filter: text/plain - {AAF0F0E1-DA9C-11D8-9FE5-0001186E45C4} - C:\WINDOWS\SYSTEM\KFCDNO.DLL
 
mais j'y comprend rien, si vous pouvez m'aider
merci d'avance  :wahoo:

Reply

Marsh Posté le 05-09-2004 à 13:18:08   

Reply

Marsh Posté le 05-09-2004 à 13:33:49    

soph44 a écrit :


C:\WINDOWS\SYSTEM\DDHELP.EXE vérifie juste dans les propriétés du fichier que c'est bien du microsoft directX car sur commentçamarche ils parlent d'un composant 2000/NT/XP mais pas 98. mais à mon avis c'est bon
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
 
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FRANCOIS\JCCATCH.DLL (file missing)
 
c'est quoi IECatch2 si tu connais pas vire
 
O2 - BHO: jimmyhelp.CBrowserHelper - {92C62F1C-117E-40E8-9182-C25F57390D69} - C:\WINDOWS\KUBTFW.DLL
 
sûrement une merde
 
O4 - HKLM\..\Run: [mjmlvf] C:\WINDOWS\hqkelhfrj.exe
 
à virer (et ensuite aller virer le fichier)
 
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FRANCOIS\FLASHGET.EXE (file missing)
 
si flashget.exe n'est plus là pense à virer cette ligne et les autres lignes qui parlent de lui ;)
 
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing

Citation :

Que faire ?
Il est préférable de fixer ces hijacks en utilisant l'outil LSPFix de Cexx.org, ou Spybot S&D de Patrick Kolla.
 
Note : pour des raisons de sécurité, les lignes 'unknown files' dans les piles LSP ne sont pas fixées par HijackThis.

lu sur le tutoriel HJ de Assiste.fr
 
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -  
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/mmed.cab
O18 - Filter: text/html - {AAF0F0E1-DA9C-11D8-9FE5-0001186E45C4} - C:\WINDOWS\SYSTEM\KFCDNO.DLL
O18 - Filter: text/plain - {AAF0F0E1-DA9C-11D8-9FE5-0001186E45C4} - C:\WINDOWS\SYSTEM\KFCDNO.DLL
 
j'hésite sur ces deux dernières
 


 
et au fait met ton IE à jour avec les derniers patchs datant de fin juillet ;) ça évite justement qu'une page web ne t'envoie un virus type scob (download.ject ou autre nom)


Message édité par minipouss le 05-09-2004 à 13:52:50
Reply

Marsh Posté le 05-09-2004 à 13:53:57    

voila j'ai tout vérifié :
 
C:\WINDOWS\SYSTEM\DDHELP.EXE, etait bien du direct X,  
j'ai viré IEcatch2
O2 - BHO: jimmyhelp.CBrowserHelper - {92C62F1C-117E-40E8-9182-C25F57390D69} - C:\WINDOWS\KUBTFW.DLL  
O4 - HKLM\..\Run: [mjmlvf] C:\WINDOWS\hqkelhfrj.exe j'ai enleve tout ca  
et errorplace n'est plus la  :)  
merci mille fois  :jap:


Message édité par soph44 le 05-09-2004 à 13:54:27
Reply

Marsh Posté le 05-09-2004 à 13:57:07    

et la mise à jour IE? penses-y quand même c'est le patch MS04-025

Reply

Marsh Posté le 05-09-2004 à 14:14:47    

c'est fait  :)

Reply

Marsh Posté le 05-09-2004 à 15:02:37    


Oki. Tu as utilisé LspFix?
 
Tu peux poster un nouvel HijackThis, pour voir.


Message édité par acrobaze le 05-09-2004 à 15:03:12
Reply

Marsh Posté le 05-09-2004 à 15:11:00    

Logfile of HijackThis v1.98.2
Scan saved at 15:16:46, on 05/09/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec France Télécom
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAM FILES\GRISOFT\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O8 - Extra context menu item: Télécharger en utilisant FlashGet - D:\FRANçOIS\UTILITAIRES\FLASHGET\jc_link.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - D:\FRANçOIS\UTILITAIRES\FLASHGET\jc_all.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -  
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] owdown.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.photoweb.fr/france/XUpload.ocx
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/mmed.cab
 
 
voila. euh c quoi Lsp.fix ?


Message édité par soph44 le 05-09-2004 à 15:20:24
Reply

Marsh Posté le 05-09-2004 à 15:14:51    

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FRANCOIS\FGIEBAR.DLL (file missing)  
O18 - Filter: text/html - {AAF0F0E1-DA9C-11D8-9FE5-0001186E45C4} - C:\WINDOWS\SYSTEM\KFCDNO.DLL  
O18 - Filter: text/plain - {AAF0F0E1-DA9C-11D8-9FE5-0001186E45C4} - C:\WINDOWS\SYSTEM\KFCDNO.DLL  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
--------------
 
Télécharge LspFix sur:  
http://www.spychecker.com/download [...] spfix.html  
   
-Lance-le  
-Coche "I know what I'm doing"  
-Sans rien faire d'autre, clique "Finish".  
   
Tu me diras si dans le panneau de droite, il y avait : 'xfire_lsp.dll'  
 
-----------------------------
 
Où en est le pb que tu évoquais au début? (redirection)?

Reply

Marsh Posté le 05-09-2004 à 15:24:22    

Citation :

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FRANCOIS\FGIEBAR.DLL (file missing)  
O18 - Filter: text/html - {AAF0F0E1-DA9C-11D8-9FE5-0001186E45C4} - C:\WINDOWS\SYSTEM\KFCDNO.DLL  
O18 - Filter: text/plain - {AAF0F0E1-DA9C-11D8-9FE5-0001186E45C4} - C:\WINDOWS\SYSTEM\KFCDNO.DLL  
Ferme tous les programmes, y compris internet explorer.  
Lance HijackThis. Coche ces lignes et clique "Fix checked".


c fait  :D  
 
et oui il y avait xfire_lsp.dll  
qu'est-ce que c'est ?
 
pour le probleme du debut, c'est regle  :)


Message édité par soph44 le 05-09-2004 à 15:27:41
Reply

Marsh Posté le 05-09-2004 à 15:40:13    

Rien de grave. Juste un fichier inscrit qui n'est plus là. Je crois que xfire est un genre de tchat, non?
 
Alors tout est parfait! A+! :hello:

Reply

Marsh Posté le 05-09-2004 à 15:40:13   

Reply

Marsh Posté le 05-09-2004 à 15:42:57    

Ha, j'oubliais...Fais un peu de ménage dans c:\windows\downloaded program files. Il y a trop de choses, et elles ne serviront plus (ce sont des fichiers temporaires *.cab)
Garde ce qui est important (antivirus...) mais le reste, élimine!
 
Voilà! A+! :hello:

Reply

Marsh Posté le 05-09-2004 à 15:48:39    

Citation :

Rien de grave. Juste un fichier inscrit qui n'est plus là. Je crois que xfire est un genre de tchat, non?  


oui c'est ca  :)  
ok je vais voir ce que je peut enlever.
 
merci pour tout minipouss et acrobaze[:acherpy]  
@+


Message édité par soph44 le 05-09-2004 à 16:02:53
Reply

Marsh Posté le 05-09-2004 à 15:54:58    

ça roule :jap:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed