Aide loghijackthis - Sécurité - Windows & Software
Marsh Posté le 02-01-2006 à 20:52:44
Déjà, commencer par dire ce qui cloche, et non pas balancez le log "hop, demerdez-vous..." Enfin faire un vrai topic, quoi
Marsh Posté le 02-01-2006 à 20:53:08
Bsr, tu as fait un scan HijackThis suite a quel problèmes sur ton pc ?
edit: grillé
Marsh Posté le 02-01-2006 à 20:59:03
Et bien quand je lance internet je tombe sur la page http://www.findthewebsiteyouneed.com alors que normalement c'est wanadoo....
Et mon disque dur c'est rempli bizarement et g des logiciels inconnus installé sur mon PC du jour au lendemain....
Norton donne comme spyware les suivants
asappsrv
command
et comme adware
ofgza
ofgzm
wuauclt
Marsh Posté le 02-01-2006 à 21:47:18
Redémarrer en mode sans échec et lance hijackthis et tu coches ces lignes :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\paqpor.exe reg_run
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [ofqz] C:\PROGRA~1\FICHIE~1\ofqz\ofqzm.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe
coches les et cliques sur "Fix Checked"
Ensuite supprime les fichiers suivants :
C:\WINDOWS\TmlraXRldWNo\command.exe
C:\windows\timessquare.exe
C:\WINDOWS\System32\paqpor.exe
c:\drsmartloadb.exe
C:\Program Files\Common Files\VCClient\VCClient.exe
C:\Program Files\Common Files\VCClient\VCMain.exe
C:\PROGRA~1\FICHIE~1\ofqz\ofqzm.exe
Ensuite redémarre le PC, puis attend 3 ou 4 minutes, ballade toi sur le net et refait un log hijack et reviens nous voir avec ton log
NB : pour VCClient.exe et VCMain.exe je ne suis pas super sur, j'ai cherché, et toutes les pages ou je suis tombé, les gens avaient un pb avec, donc tu peux flinguer
Marsh Posté le 02-01-2006 à 22:10:03
Viola g fai comme tu m as dis et voila ce que j obtiens
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TmlraXRldWNo\command.exe
C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Thel\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A62E234-3969-4141-B889-C1FC278D8406}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Merci de me dire si c'est bon ou pas....
Marsh Posté le 02-01-2006 à 22:24:07
le log tu l'as généré en mode normal ?
et met à jour Windows XP là, ya aucune mise à jour, c'est un vrai gruyère
Marsh Posté le 02-01-2006 à 22:43:07
oui je l ai généré en mode normal....
merci pr l conseil pr windows..
alors c ok
Marsh Posté le 02-01-2006 à 22:48:52
j avai oublié une partie du log
Logfile of HijackThis v1.99.1
Scan saved at 22:48:17, on 02/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TmlraXRldWNo\command.exe
C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Thel\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A62E234-3969-4141-B889-C1FC278D8406}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Marsh Posté le 02-01-2006 à 22:53:16
tu redemarres en mode sans echecs et tu me supprimes el fichier là !!!
C:\WINDOWS\TmlraXRldWNo\command.exe
et tu me vires la ligne là :
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe
et tu me telecharges et installes le service pack 2 sinon je t'aide plus
Marsh Posté le 02-01-2006 à 22:55:36
ReplyMarsh Posté le 02-01-2006 à 22:57:03
Nikiteuch a écrit : j ai entendu que le service pack 2 faissai planter les pc ???????? |
sûrement pour ça qu'il est installé d'office maintenant, et est présent sur 80% des Windows XP dans le monde
Marsh Posté le 02-01-2006 à 23:29:12
ai ca va freds45 téten toi un peu ct juste une question...
sinon je n arrive pas supprimet ce fichier là !!!
C:\WINDOWS\TmlraXRldWNo\command.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe
le fichier TmlraXRldWNo n'est pas présent ds c:\windows comment faire ?
Marsh Posté le 03-01-2006 à 00:52:57
Tête de noeud, affiche les fichiers cachés.
OU
sinon tu fais Demarrer > executer
et tu tapes la commande suivante :
del C:\WINDOWS\TmlraXRldWNo\command.exe
OU
sinon, si tu as du mal à taper tout ce charabia, tu tapes "cmd" (sans les guillemets), dans la boite de dialogue executer tu va tomber dans la ligne de commande windows.
tu fais les commandes suivantes :
CD\
cd windows
rd /S /Q tmlr (tu tapes les premières lettres du répertoire incriminé puis tu appuies sur la touches TABULATION (TAB) ce qui aura pour effet de compléter le restant du nom du répertoire
voili, voilou
Marsh Posté le 05-01-2006 à 23:35:00
Bonsoir,
merci pour votre aide d'abord ....après une longue bataille pourriez vous me dire si mon pc est clean merci d'avance
Logfile of HijackThis v1.99.1
Scan saved at 23:30:31, on 05/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Documents and Settings\Thel\Bureau\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Marsh Posté le 07-01-2006 à 20:53:31
non c'est peut être pas propre
As tu cette clé dans ta base de registre
Citation : HKey Local Machine\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update = WUAUCLT.EXE |
Si oui, alors tu es infecté par un beau petit cheval de trois nommé Troj/Cult-B
donc supprime cette clé, et en mode sans echec supprime la ligne correspondante dans hijack
Si non, alors as tu eu Windows Millenium installé sur ton poste ?
---> Oui, tu as eu Millenium installé alors vire la ligne via hijack
C:\WINDOWS\System32\wuauclt.exe
Marsh Posté le 07-01-2006 à 20:56:39
/!\Attention !!!!!!!!!!!!!!!! /!\
le fichier indiqué par bascarol n'est pas un virus
c'est le programme des mises à jours automatiques de Windows XP !!!
wuauclt.exe
Marsh Posté le 07-01-2006 à 21:00:24
bascarol
C'est la mise à jour automatique de Windows.
(Il y a un dossier system32 dans Me ? )
Gatsu35
Il n' y a pas de case, il est ds les processus.
Simplement il a fait son log au moment où la recherche de mise à jour avait lieu.
Marsh Posté le 07-01-2006 à 21:08:17
acrobaze a écrit : bascarol |
Ou j'ai mal écrit ou tu lis trop vite, j'ai jamais dit qu'il y avait un rep system32 dans millenium et
C'est bien pour ca que je lui demande de vérifier la ligne dans la base de registre, si elle n'y est pas alors c'est bon.
pour info cette ligne est le processus wuauclt.exe (wuauclt signifiant Windows Update client for WindowsME)
c'est un processus générique de Windows Millenium qui sert à mettre à jour Windows Millenium via Internet
Il devrait passé un scan en ligne
Marsh Posté le 07-01-2006 à 21:14:09
acrobaze a écrit : bascarol |
et gatsu parlait de la case dans hijack, donc y a bien une case à cocher
Maintenant, comme c'est un process, il pourra pas la supprimer comme ca, faut d'abord arreter le process ou passer en mode sans echec
Marsh Posté le 07-01-2006 à 21:16:15
/!\Attention !!!!!!!!!!!!!!!! /!\
le fichier indiqué par bascarol n'est pas un virus
c'est le programme des mises à jours automatiques de Windows XP !!!
wuauclt.exe
Marsh Posté le 07-01-2006 à 21:30:46
pfffffffffffffffffffff
Bon comme vous lisez pas
allez
La prochaine je vous la fait en Allemand, peut être que vous lirez.
Ciao
Marsh Posté le 07-01-2006 à 22:01:28
Salut!
Petites précisions por ne pas que Nikiteuch soit perdu :
- wuauclt.exe, est le fichier des mises à jour autos de windows. Aussi bien de Me que d'XP. Simplement, dans XP, il va se trouver dans le dossier C:\WINDOWS\System32\
Et : il n'est pas lancé par une ligne de commande
HKey Local Machine\Software\Microsoft\Windows\CurrentVersion\Run
- wuauclt.exe a vu comme bcp (svchost.exe, winlogon.exe, etc..) son nom emprunté par des malwares.
Dans ce cas, on trouvera dans HijackThis, par exemple ceci :
O4 - HKLM\..\Run: [Microsoft auto update] WUAUCLT.EXE
Et, sous XP, le fichier en question se trouvera par exemple dans :
c:\windows\system\
Je ne sais pas si c'est clair, mais bon...
Marsh Posté le 07-01-2006 à 22:33:53
acrobaze a écrit : Salut! |
ah enfin on va y arriver
c'est bien pour ca que je lui ai demandé de VERIFIERRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
si il a cette ligne ou pas
désolé pour les majuscules, mais personne ne lis alors
pour ton info acrobaze le trojan cult est bien lancé par cette ligne d'ou sa présence dans la base de registre en cas d'infection.
donc si il vérifie, ca lui prendra 1mn, il sera sur de ne pas être infecté, et nous serons sur de pas lui dire de connerie et nous serons sur que c'est propre
tiens bizarre, j'avais bien dit que c'etait "peut être" pas propre, j'avais bien employé "peut être" d'ou le terme que j'ai employe de "vérifier", j'ai bien dit "vérifier",
bizarre, j'ai dit bizarre moi, comme c'est bizarre
arf quand on relis qu'est ce qu'on gagne comme temps
Marsh Posté le 07-01-2006 à 22:52:41
ouééé désolé pardon pardon
mais je ne pense pas qu'il fallait se lancer dans la recherche de cet exe, le gars a XP, donc comme on est dans le répertoire System32, je ne pense pas qu'il y ait un soucis, et puis de plus si l'exe est remplacé par une merde frauduleuse, par défaut XP détecte ça et demande si on doit ou non restaurer le fichier.
encore désolé bascarol
Marsh Posté le 07-01-2006 à 23:07:18
Re-salut!
Mais...on l'a sous les yeux son log :
Voici les O4 :
Citation : O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" |
C'est pour ça que je ne comprends pas ce qu'il y a à vérifier. S'il y avait une valeur infectante, on la verrait tout de suite.
Voili, voilou...Bonne nuit!
Marsh Posté le 07-01-2006 à 23:21:54
acrobaze a écrit : Re-salut! |
c'est le process Norton qui scan les mail, si il l'enlève Norton out
acrobaze a écrit : |
C'est le process Norton qui remonte la mise a jour, si il l'enleve Norton out
acrobaze a écrit : |
Dragdial est le process qui est installé avec le modem Speed touch tu sais la raie verte. Il permet de voir en temps réel tes taux de transfert. C'est une merde mais pas un spy, mais comme ca sert à rien il peut l'enlever en desinstallant via ajouter/supprimer fichiers.
Le probleme de Norton est qu'il fout des fichiers partout
Marsh Posté le 07-01-2006 à 23:51:35
gatsu35 a écrit : ouééé désolé pardon pardon |
t'inquiète c'est a cause de l'heure tardive
par contre la vérification est neccessaire, pourquoi ?
Parce que le Troj/Cult-B exploite une faille qui utilisait IRC, il etait aussi connu pour faire du masse mailing avec son cousin W32.HLLW.Cult.M@mm via un faille smtp
le seul moyen de le détecter est cette ligne de commande dans la base de registre. mais il etait merdique et l'exe s'installait dans n'importe quel rep. Même dans system32 et la il plantait windowsupdate car il se substituait à lui. Et pour cause il porte le même nom.
Mais dans ce cas on s'en apercevait vite car les mises a jour étaient out. C'etait son bug...
La cle " HKey Local Machine\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update = WUAUCLT.EXE " lui permet de demarrer à chaque allumage de windows, il suffisait de virer cette cle pour arrete le trojan, ou bien d'arreter le service des mises a jour.
Bon OK visiblement c'est pas le cas ici, mais la verif et nécessaire des qu'on voit ce fichier tres confus, vu son nom.
Allez vais dodo moi
Marsh Posté le 07-01-2006 à 23:51:45
bascarol a écrit : c'est le process Norton qui scan les mail, si il l'enlève Norton out |
Oki. Il y a un sérieux problème de communication entre nous.
Pas grave! Bye!
Marsh Posté le 08-01-2006 à 00:00:44
acrobaze a écrit : Oki. Il y a un sérieux problème de communication entre nous. |
arf non pas de prob j'ai saisie c'est.... norton
bon vraiment dodo
Marsh Posté le 08-01-2006 à 09:20:04
[troll ON]
Norton c'est pire qu'un virus ou un spyware à lui tout seul :
-Il ralenti considérablement le système
-Il affiche à chaque démarrage des messages demandant de mettre à jour, ou lorsque l'abonnement est expiré, il veut qu'on paye
[troll OFF]
Marsh Posté le 16-01-2006 à 22:37:34
Slt,
Rien de spécial. Un antivirus en ligne, par exemple, pour netoyer les restes :
http://www.bitdefender.fr/scan8/ie.html
Marsh Posté le 17-01-2006 à 12:52:22
slt
Si quelqu'un a besoin de voir son log en detail :
go => http://www.hijackthis.de/fr
Marsh Posté le 02-01-2006 à 20:42:57
Bonjour et bonne année tt lemonde...
Quelqu'un pourrait il m aider car je ne sais pas quoi faire avec ça.....
Logfile of HijackThis v1.99.1
Scan saved at 20:28:48, on 02/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TmlraXRldWNo\command.exe
C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\FICHIE~1\ofqz\ofqzm.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
C:\PROGRA~1\Norton\NORTON~1\navw32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Thel\Bureau\HijackThis.exe
C:\PROGRA~1\FICHIE~1\ofqz\ofqza.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\paqpor.exe reg_run
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [ofqz] C:\PROGRA~1\FICHIE~1\ofqz\ofqzm.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/web [...] ad117a.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A62E234-3969-4141-B889-C1FC278D8406}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Merci d'avance