petit rapport HijackThis a verifier

petit rapport HijackThis a verifier - Sécurité - Windows & Software

Marsh Posté le 01-09-2004 à 19:55:45    

Logfile of HijackThis v1.98.2
Scan saved at 19:46:35, on 01/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\WINDOWS\System32\DSLAGENT.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\HijackThis\HijackThis19802.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://scheo.com/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2846032F-8EA0-4EFF-E13E-006290501796} - C:\WINDOWS\system32\ntlj32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: PowerReg Scheduler.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: Interface Chat Voila - http://chat15.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] owdown.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -  
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA79AF5B-92ED-4742-9229-7B47330996DB}: NameServer = 80.10.246.130 80.10.246.3
O19 - User stylesheet:  (file missing)
 
 
 
Voila mon rapport, a savoir que si je le poste c'est qu'il m'arrive des miseres evidement ;)
Les rejouissances sont : page web forcee lors de l'ouverture de IE ou recherche google (ajout d'une autre page), pccillin 9 qui a chaque ouverture d'une page IE m'indique qu'a cause de Trojan_Agent.EL (pas trouver via google etc celui la) il doit bloquer les fichiers suivants (fichiers non desires exemple :ipdb.exe,winxr32.exe heureusement mis en quarantaine car pccilin toujours en marche pendant que je surfe).
 
Comme solution j'ai essaye : CWShredder (premier lancement il trouve des trucs au deuxieme trouve rien).
Anti virus pccilling et panda en ligne, spyboot, webrootspy.
 
Voulant eviter de devoir reinstaller windows (snif snif) je me tourne vers vous en vous remerciant par avance de votre aide :-)
 
PS : Lors des essaies d'eradication j'ai fais le "truc" de desactiver la restauration etc mais pas de changement.
Le reste du pc fonctionne (ouff) notament jeux en ligne etc  
 
 

Reply

Marsh Posté le 01-09-2004 à 19:55:45   

Reply

Marsh Posté le 01-09-2004 à 20:20:34    


En fait, ton ordi est "multi-hacké", si l'on peut dire.  :D  
 
----------------------1
D'abord pour ça:
 Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing  
 
Télécharge LspFix sur:  
http://www.spychecker.com/download [...] spfix.html  
   
-Lance-le  
-Coche "I know what I'm doing"  
-Sans rien faire d'autre, clique "Finish".  
   
Tu me diras si dans le panneau de droite, il y avait : 'xfire_lsp_8742.dll'  
 
--------------------2
 
Ensuite, il faudrait la liste de tes services :
 
Télécharger ce petit programme qui nous donnera la liste
des services :
 
http://d21c.com/Tom41/get_active_services_179_161.zip
 
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
------------
 
Ne supprime pas de lignes ou de fichiers en attendant, sinon, , ils vont se recréer sous d'autres noms.

Reply

Marsh Posté le 01-09-2004 à 20:47:31    

merci pour ta rapidité.
tout d'abord pour LSPfix oui il y avait bien la ligne dans la colone de droite (c'etait koi pour info ?)
ci dessous le rapport getactiveservices.
 
These are the Current Active Services:
 
 AVERTISSEMENT: Alerter
C:\WINDOWS\System32\svchost.exe -k LocalService
 
 ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService
 
 ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
C:\WINDOWS\system32\svchost.exe -k LocalService
 
 SERVICE DE DÉCOUVERTES SSDP: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService
 
 WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService
 
 AUDIO WINDOWS: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 SERVICE DE TRANSFERT INTELLIGENT EN ARRIÈRE-PLAN: BITS
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 EXPLORATEUR D'ORDINATEUR: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 SERVICES DE CRYPTOGRAPHIE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs
 
 CLIENT DHCP: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 GESTIONNAIRE DE DISQUE LOGIQUE: dmserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 SERVICE DE RAPPORT D'ERREURS: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 COMPATIBILITÉ AVEC LE CHANGEMENT RAPIDE D'UTILISATEUR: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 AIDE ET SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 SERVEUR: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 STATION DE TRAVAIL: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 CONNEXIONS RÉSEAU: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 PLANIFICATEUR DE TÂCHES: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 CONNEXION SECONDAIRE: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs
 
 DÉTECTION MATÉRIEL NOYAU: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 SERVICE DE RESTAURATION SYSTÈME: srservice
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 TÉLÉPHONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 SERVICES TERMINAL SERVER: TermService
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 THÈMES: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs
 
 GESTIONNAIRE DE TÉLÉCHARGEMENT: uploadmgr
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 HORLOGE WINDOWS: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 INFRASTRUCTURE DE GESTION WINDOWS: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs
 
 NUMÉRO DE SÉRIE DU MÉDIA PORTABLE: WmdmPmSp
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs
 
 CONFIGURATION AUTOMATIQUE SANS FIL: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 CLIENT DNS: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService
 
 JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINDOWS\system32\services.exe
 
 PLUG-AND-PLAY: PlugPlay
C:\WINDOWS\system32\services.exe
 
 NVIDIA DISPLAY DRIVER SERVICE: NVSvc
C:\WINDOWS\System32\nvsvc32.exe
 
 PC-CILLIN PERSONALFIREWALL: PCCPFW
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
 
 SERVICES IPSEC: PolicyAgent
C:\WINDOWS\System32\lsass.exe
 
 EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
 
 GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINDOWS\system32\lsass.exe
 
 APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
 
 SPOULEUR D'IMPRESSION: Spooler
C:\WINDOWS\system32\spoolsv.exe
 
 TREND NT REALTIME SERVICE: Tmntsrv
"C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe"

Reply

Marsh Posté le 01-09-2004 à 21:32:47    


Peut-être un reste  de "XFire messnger".
 
---------------
 
On va se faire aider par un petit programme : About:Buster.  
Tu le télécharges sur :  
http://www.zerosrealm.com/index.php?page=dllfix  
Et tu le laisses en attente sur ton bureau
 
et
 
Télécharge CoolWebSchredder sur:  
http://www.lurkhere.com/~nicefiles/index.html  
Laisse-le en attente sur ton bureau
 
------------------------
Redémarre en mode sans échec.
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qhoti.dll/sp.html#37049  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://scheo.com/srchasst/srchcust.htm  
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/  
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank  
O2 - BHO: (no name) - {2846032F-8EA0-4EFF-E13E-006290501796} - C:\WINDOWS\system32\ntlj32.dll  
 
 
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
Toujours en mode sans échec:
-Lance CoolWebSchredder (Fix->next)
-Lance About:Buster 2 fois de suite.
 
-----------------
 
Redémarre et poste un nouvel HijackThis.
 

Reply

Marsh Posté le 01-09-2004 à 21:37:07    

oki merci je le fais et je te tiens au courant, pour infos xfire n'est pas un virus mais un logiciel comme alleyeseeing pour retrouver des serveurs de jeu en reseau etc (je dis cela car tu me parlais de xfire ki pouvait poser probleme) ou alors c'etait un logiciel verolle grr
bon je fais comme indique dans ton post et je reviens :)

Reply

Marsh Posté le 01-09-2004 à 22:59:47    

resultat des operations:
Logfile of HijackThis v1.98.2
Scan saved at 22:49:09, on 01/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\WINDOWS\System32\DSLAGENT.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\HijackThis\HijackThis19802.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qhoti.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: PowerReg Scheduler.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: Interface Chat Voila - http://chat15.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] owdown.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -  
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA79AF5B-92ED-4742-9229-7B47330996DB}: NameServer = 80.10.246.130 80.10.246.3
O19 - User stylesheet:  (file missing)
 
+rapport de aboutbuster : 3key enleve la premiere fois puis 0 lors du second lancement.
 
Pour poster ce message j'ai donc fais comme d'habitude niveau connexion logiciel en cours (msn etc) et je n'ai plus les messages habituels de pcciling sur le trojan et pop "only best" disparu apparament et ok.
Par contre webroot spy m'a mis une alerte en me disant :
Processing Startup Alerts
 Startup entry: KernelFaultCheck (en gros nouveau programme au demarrage (inconnu) tente quelquechose de pas clair.
"kernelfaultcheck" apparament, j'ai demande a spy de le removed car je ne vois pas ce que c'est (j'ai rien installe entre le mode sans echec et maintenant a part les programmes que tu m'avais indique evidement).
 
 
 

Reply

Marsh Posté le 02-09-2004 à 16:50:52    

Merci a toi Acrobaze pour m'avoir si rapidement aidé car apparament ca fonctionne très bien !
Bravo pour le serieux :)

Reply

Marsh Posté le 02-09-2004 à 19:30:11    


Alors je te le dis tout de suite...ce n'est pas "guéri"... :sweat:  
 
Simplement tu ne le vois pas.
 
Tant qu'il y a ces lignes: C:\WINDOWS\qhoti.dll/sp.html#37049  
ça signifie qu'il y a une dll qui pollue IE et que donc elle a été créée quelque part.
Si tu repases About:Buster, je suis sûr qu'il retrouvera quelque chose.
 
Télécharge "FINDnFIX" sur:
http://downloads.subratam.org/FINDnFIX.exe
Double-clique le, il va se décompresser dans un dossier c:\FINDnFIX
Là, double clique  "!LOG!.bat
Il va rechercher qq instants, puis à la fin, un fichier Log.txt est généré.
Poste le contenu de ce txt, stp.
 
 
 
 

Reply

Marsh Posté le 02-09-2004 à 20:22:26    

ah pourtant ya pas signe exterieur, la page de demarrage ne change pas, la page recherche via google ne delire pas, no popup.
Cette ligne j'aurais pu la fixer avec hijack non? (elle y ai dans le rapport).
 
Thu 02 Sep 04  20:19:16
 
 »»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»  
 
*System:  
Microsoft Windows XP Professional 5.1 Service Pack 1 (Build 2600)
*IE version:  
6.0.2800.1106 SP1-Q810847
 
 
 
MS-DOS Version 5.00.500
 
*command.com test passed!  
 
__________________________________  
!!*Creating backups...!!  
 
The operation completed successfully
20:19:15,88 02/09/2004  
__________________________________  
 
*Local time:  
jeudi 2 septembre 2004 (02/09/2004)
20:19, Paris, Madrid (heure d'été)
*Uptime:  
 20:19:18  up 0 days, 1:44:23
 
*Path:  
C:\FINDnFIX  
 ----------------------------------------------------  
»»Member of...: ("ADMIN" logon + group match required!)  
 
User is a member of group WORKSTATION\Aucun.
User is a member of group \Tout le monde.
User is a member of group BUILTIN\Administrateurs.
User is a member of group BUILTIN\Utilisateurs.
User is a member of group \LOCAL.
User is a member of group AUTORITE NT\INTERACTIF.
User is a member of group AUTORITE NT\Utilisateurs authentifiés.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  
 
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  
 
User: [WORKSTATION\YANNICK], is a member of:
 
  BUILTIN\Administrateurs
  WORKSTATION\Aucun
 
Running in WORKSTATION MODE.  
 
SystemDrive          is C:  
SystemRoot           is C:\WINDOWS  
Logon Domain         is WORKSTATION  
Administrator's Name is YANNICK  
Computer Name        is WORKSTATION  
LOGON SERVER         is \\WORKSTATION  
 
»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»  
The list will produce a small database of files that will match certain criteria.  
Ex: read only files, s/h files, last modified date. size, etc.  
The filters provided and registry scan should match the  
corresponding file(s) listed.  
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»  
 Unless the file match the entire criteria, it should not be pointed to remove  
without attempting to confirm it's nature!  
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»  
 At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!  
If in doubt, always search the file(s) and properties according to criteria!  
 
The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder  
 
______________________________________________________________________________  
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***  
______________________________________________________________________________  
 
......Scanning for file(s)...  
*Note! The list(s) may include legitimate files!  
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»  
 
»»»»» (*1*) »»»»» .........  
 »»Read access error(s)...  
 
 
 »»»»» (*2*) »»»»»........  
 
 »»»»» (*3*) »»»»»........  
 
No matches found.
 
unknown/hidden files...  
 
No matches found.
 
 »»»»» (*4*) »»»»».........  
Sniffing..........  
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
 
SNiF 1.34 statistics
 
 Matching files       :     0     Amount in bytes   : 0
 Directories searched :     1     Commands executed : 0
 
 Masks sniffed for: *.DLL  
 
 »»»»»(*5*)»»»»»  
 
 »»»»»(*6*)»»»»»  
 
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»  
»»»»»Search by size...  
*List of files and  specs according to 'size' :  
*Note: Not all files listed here are infected, but *may include* the  
name and spces of the offending file...  
___________________________________________________________________________  
Path:   C:\WINDOWS\SYSTEM32                                    Including: *.DLL
 
791.   Nvwddi      Dll        35,840      . . . . A         2-04-04    11:37 am
 
____________________________________________________________________________  
*By size and date...  
 
 
No matches found.
 
No matches found.
 
No matches found.
 
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
 
SNiF 1.34 statistics
 
 Matching files       :     0     Amount in bytes   : 0
 Directories searched :     1     Commands executed : 0
 
 Masks sniffed for: *.DLL  
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
 
SNiF 1.34 statistics
 
 Matching files       :     0     Amount in bytes   : 0
 Directories searched :     1     Commands executed : 0
 
 Masks sniffed for: *.DLL  
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
 
SNiF 1.34 statistics
 
 Matching files       :     0     Amount in bytes   : 0
 Directories searched :     1     Commands executed : 0
 
 Masks sniffed for: *.DLL  
 
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»  
 
 
BHO search and other files...  
 
 
 
No matches found.
 
No matches found.
 
--*sp.html in temp folder was NOT FOUND!--  
 
*Filter keys search...  
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)
 
--(*text/html Subkey was NOT FOUND!)--  
 
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)
 
--(*text/plain Subkey was NOT FOUND!)--  
 
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»  
 »»Size of Windows key:  
 (*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)  
 
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 398
 
»»Checking for AppInit_DLLs (empty) value...  
________________________________  
!"AppInit_DLLs"=""!  
 
Value does not exist
________________________________  
 
»»Comparing *saved* key with *original*...  
 
REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)
 
Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).
 
No differences found.
 
 »»Dumping Values........  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =  
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710
 
  »»Security settings for 'Windows' key:  
 
 
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
 
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI)    ALLOW  Read         BUILTIN\Utilisateurs
(IO)    ALLOW  Read         BUILTIN\Utilisateurs
(NI)    ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(IO)    ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(NI)    ALLOW  Full access  BUILTIN\Administrateurs
(IO)    ALLOW  Full access  BUILTIN\Administrateurs
(NI)    ALLOW  Full access  AUTORITE NT\SYSTEM
(IO)    ALLOW  Full access  AUTORITE NT\SYSTEM
(NI)    ALLOW  Full access  BUILTIN\Administrateurs
(IO)    ALLOW  Full access  CREATEUR PROPRIETAIRE
 
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read           BUILTIN\Utilisateurs
Read           BUILTIN\Utilisateurs avec pouvoir
Full access    BUILTIN\Administrateurs
Full access    AUTORITE NT\SYSTEM
 
 
 
»»Performing string scan....  
00001150:                        ?                                        
00001190:                               P    vk                 UDeviceNo
000011D0:tSelectedTimeout    1 5      ( W            vk       '         z
00001210:GDIProcessHandleQuota"      9 0       |     vk      X            
00001250:Spooler2    y e s   hd      vk                =pswapdisk        
00001290:    8   h           vk      (         R TransmissionRetryTimeout
000012D0:    vk       '        3 USERProcessHandleQuotau!            8    
00001310:h            E P      }  }  }  \     ;             E PWW u   j  
00001350:  ;       9} tc E ;  u t   P Q  M Qh   t }   V    ;          M Q
00001390:   P   ; |q E    U R u  u P Q0  ; |X u          u@ E ; t   P Q  
000013D0:K  E P u  }    P P  T    ; |  u  E P 15  9}   @   3 9}       u  
00001410: 5   E ; t   P Q  E ; t   P Q  E ; t   P Q _  ^[   D$   u  W    
00001450:G   V t$     Wt     J u) $B t   T  tj Y3   u  L$     t   Q P 3  
00001490:   @  _^    L$  t$    P    U  QQ e   e  V    W M Q   P     |> }  
000014D0: u       > E   t   P Q  N  e     U R P     |  E  u   P Q    E    
00001510:t   P Q  E   t   P Q   _^  U  QQS ] V3 f93W   u  ] t  E    P    
00001550:   Yt  E   E f 8 u  u      t  Y       E f  f=+ t f=- u 3 f=+    
00001590: E   L   M  u   H  t E  E   Y       f  .t FFf  f  u f > tl  0Z t
000015D0:3 FFf  f  tvf=0 r0f=9 w*   }%     0 E AF E F3                    
 
---------- WIN.TXT
--------------  
--------------  
$011C7: UDeviceNotSelectedTimeout
$0120F: zGDIProcessHandleQuota
$012B8: TransmissionRetryTimeout
$012E8: USERProcessHandleQuotau
--------------  
--------------  
No strings found.
 
--------------  
--------------  
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
 
.............  
-----------------------  
 
»»»»»»Backups list...»»»»»»  
 20:21:45  up 0 days, 1:46:50
-----------------------  
Thu 02 Sep 04  20:21:45
 
 
C:\FINDNFIX\
   keyback.hiv    Thu  2 Sep 2004  20:19:16   A....          8 192     8,00 K
 
1 item found:  1 file, 0 directories.
   Total of file sizes:  8 192 bytes      8,00 K
 
C:\FINDNFIX\KEYS1\
   winkey.reg     Thu  2 Sep 2004  20:19:18   A....            268     0,26 K
 
1 item found:  1 file, 0 directories.
   Total of file sizes:  268 bytes      0,26 K
 
*Temp backups...  
 
"C:\Documents and Settings\YANNICK\Local Settings\Temp\Backs2\"
keyback2.hi_   2 Sep 2004        8192  "keyback2.hi_"
winkey2.re_    2 Sep 2004         268  "winkey2.re_"
 
2 items found:  2 files, 0 directories.
   Total of file sizes:  8 460 bytes      8,26 K
-D---- JUNKXXX      00000000 20:19.16 02/09/2004
A----- STARTIT .BAT 00000060 20:19.16 02/09/2004
 
________________________________________________________________________________  
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'  
 AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!  
MINIMAL REQUIREMENTS INCLUDE:  
_________XP HOME/PRO; SP1; IE6/SP1  
_________2K/SP4; IE6/SP1  
________________________________________________________________________________  
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»  
-----END------  
Thu 02 Sep 04  20:21:46


Reply

Marsh Posté le 02-09-2004 à 20:43:06    


Bon, bon, bon...:lol: pas de service caché..pas de dll cachée...
 
On va aller au plus simple:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qhoti.dll/sp.html#37049  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qhoti.dll/sp.html#37049  
R3 - Default URLSearchHook is missing  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
--------
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Vérifie que :
C:\WINDOWS\qhoti.dll
est bien supprimée.
 
Si elle est toujours présente, la supprimer, au besoin en mode sans échec.
 
-------------
Mais on avait déjà fixé ces lignes au premier coup, non?

Reply

Marsh Posté le 02-09-2004 à 20:43:06   

Reply

Marsh Posté le 02-09-2004 à 22:28:09    

lol non ;) pas celle la justement, ca m'avait etonné car je ne connaissais pas ce service mais je voulais pas la ramener vu mes petites connaissances ;) je te tiens au courant apres les modifs faites!

Reply

Marsh Posté le 02-09-2004 à 22:29:57    

nt


Message édité par PDT le 02-09-2004 à 22:51:30
Reply

Marsh Posté le 02-09-2004 à 22:31:21    

heu pour ma culture ca faisait quoi comme analyse le Findfix?

Reply

Marsh Posté le 02-09-2004 à 22:32:04    

heu heu je pense que tu devrais en faire un autre topic car la ca va etre trop fouilli non :(

Reply

Marsh Posté le 02-09-2004 à 22:41:40    

Hamsterjovial a écrit :

heu pour ma culture ca faisait quoi comme analyse le Findfix?


 
Il "sniffe"  :whistle:  les dll suspectes:
 

Citation :

»»»»» (*4*) »»»»».........  
Sniffing..........  
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.  
 
SNiF 1.34 statistics  
 
 Matching files       :     0     Amount in bytes   : 0  
 Directories searched :     1     Commands executed : 0  
 
 Masks sniffed for: *.DLL  


 
Mais là, donc, il n'y en a pas.

Reply

Marsh Posté le 02-09-2004 à 22:51:16    

oki merci ! bon je ferais les modifs demain concernant la derniere ligne suspecte ;)
je vais tomber amoureux d'acrobaze a force lolllllllllllllll
 
Merci encore sincerement !

Reply

Marsh Posté le 02-09-2004 à 22:52:23    

Bon j'ai édité mon message. Quand tu as bien fait le ménage sur ton pc dis le moi que je poste mon truc. Acrobaze t'en vas pas torp loin :D

Reply

Marsh Posté le 02-09-2004 à 22:53:13    

lol pdt lol !

Reply

Marsh Posté le 03-09-2004 à 13:14:28    

bon j'ai refais un log hijack et il n'y avait plus trace de ces lignes, il y avait tj par contre en fichier cache le .dll que j'ai donc efface a la main (mode sans echec) apres plus reboot et connexion pas de retour de ce michant dll :)
 
a toi pdt! lol

Reply

Marsh Posté le 03-09-2004 à 18:29:33    

hamsterjovial a écrit :

bon j'ai refais un log hijack et il n'y avait plus trace de ces lignes, il y avait tj par contre en fichier cache le .dll que j'ai donc efface a la main (mode sans echec) apres plus reboot et connexion pas de retour de ce michant dll :)
 
a toi pdt! lol


 
Oufffff!!!!!  :lol:  
 
A+!  :hello:  

Reply

Marsh Posté le 03-09-2004 à 19:04:59    

victory ! encore merci :)

Reply

Marsh Posté le 05-09-2004 à 12:22:51    

Bon ben je me lance :  
 
Logfile of HijackThis v1.97.7
Scan saved at 12:22:17, on 05/09/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Antivirus Avast4\aswUpdSv.exe
E:\Program Files\Antivirus Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\WANADOO\CnxMon.exe
E:\PROGRA~1\ANTIVI~1\ashDisp.exe
E:\PROGRA~1\ANTIVI~1\ashmaisv.exe
E:\Program Files\Webcam\LogiTray.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
E:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\WINDOWS\System32\LVComS.exe
E:\Program Files\Webcam\LowLight.exe
E:\Program Files\Mozilla -Firefox\firefox.exe
E:\Program Files\Ahead Nero\Nero\nero.exe
C:\WINDOWS\System32\imapi.exe
E:\Remy\Pilotes ou programmes\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://classic.zone.msn.com/ashero [...] aunch2.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstBoot.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] E:\PROGRA~1\ANTIVI~1\ashmaisv.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd32.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] E:\Program Files\Webcam\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] E:\Program Files\Webcam\LogiTray.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd32.exe
O4 - HKCU\..\Run: [IncrediMail] E:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd32.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b27571.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b27571.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 1546180556
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4176D154-49AC-4F69-828B-EECE82D216C6}: NameServer = 80.10.246.130 80.10.246.3
 
 
 
 
Merci aux personnes qui jeteront un coup d'oeil :jap:

Reply

Marsh Posté le 05-09-2004 à 12:31:03    

O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)  
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd32.exe  
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd32.exe  
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd32.exe  
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
wuamgrd32.exe  
C:\Program Files\Fichiers communs\GMT<-dossier
(Si présents, car ils ne sont pas dans les processus)
 
-----------
Quel est le pb, exactement?
 
La page "classic.zone.msn" est-elle choisie?

Reply

Marsh Posté le 05-09-2004 à 12:33:45    

Pas de problème particulier juste un nettoyage de fin d'été comme je laisse le pc à mes parents pendant 4 mois j'aurais aimé qu'il soit bien bien. Ou la page d'accueil est voulue(en fait ma page firefox est différente).  
 
Bon je lance le truc et te tiens au courant ;)

Reply

Marsh Posté le 05-09-2004 à 12:36:37    


Voilà, c'est pour ça. L'ordi ne semble pas poser de pb.
A part ces 2/3 lignes, mais je pense que ça a déjà été nettoyé et que ce sont juste des traces ds la bdr.

Reply

Marsh Posté le 05-09-2004 à 12:43:50    

O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstBoot.exe  ça ne te parait pas bizarre celle-là?

Reply

Marsh Posté le 05-09-2004 à 15:10:22    


Si, mais c'est un composant des cartes Hercules, parait-il.  Mais un trojan a ce nom-là.
Et il n'est pas dans les processus.
 

Reply

Marsh Posté le 05-09-2004 à 15:52:35    

donc on peut nettoyer la base de registre :D

Reply

Marsh Posté le 05-09-2004 à 16:09:38    

minipouss a écrit :

donc on peut nettoyer la base de registre :D


 
:lol: Tout à fait!
 
Donc, rajoute cette ligne à la liste à cocher, pdt! :hello:
 
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstBoot.exe  

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed