Aide loghijackthis

Aide loghijackthis - Sécurité - Windows & Software

Marsh Posté le 02-01-2006 à 20:42:57    

Bonjour et bonne année tt lemonde...
Quelqu'un pourrait il m aider car je ne sais pas quoi faire avec ça.....
 
Logfile of HijackThis v1.99.1
Scan saved at 20:28:48, on 02/01/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TmlraXRldWNo\command.exe
C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\FICHIE~1\ofqz\ofqzm.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
C:\PROGRA~1\Norton\NORTON~1\navw32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Thel\Bureau\HijackThis.exe
C:\PROGRA~1\FICHIE~1\ofqz\ofqza.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\paqpor.exe reg_run
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [ofqz] C:\PROGRA~1\FICHIE~1\ofqz\ofqzm.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/web [...] ad117a.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A62E234-3969-4141-B889-C1FC278D8406}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
 
 
Merci d'avance

Reply

Marsh Posté le 02-01-2006 à 20:42:57   

Reply

Marsh Posté le 02-01-2006 à 20:52:44    

Déjà, commencer par dire ce qui cloche, et non pas balancez le log "hop, demerdez-vous..." Enfin faire un vrai topic, quoi [:kiki]


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 02-01-2006 à 20:53:08    

Bsr, tu as fait un scan HijackThis suite a quel problèmes sur ton pc ?
 
edit: grillé


Message édité par alix13 le 02-01-2006 à 20:53:40
Reply

Marsh Posté le 02-01-2006 à 20:59:03    

Et bien quand je lance internet je tombe sur la page http://www.findthewebsiteyouneed.com alors que normalement c'est wanadoo....
Et mon disque dur c'est rempli bizarement et g des logiciels inconnus installé sur mon PC du jour au lendemain....
Norton donne comme spyware les suivants
asappsrv
command
et comme adware
ofgza
ofgzm
wuauclt

Reply

Marsh Posté le 02-01-2006 à 21:47:18    

Redémarrer en mode sans échec et lance hijackthis et tu coches ces lignes :  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com  
R3 - Default URLSearchHook is missing  
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)  
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe  
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\paqpor.exe reg_run  
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe  
O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe  
O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe  
O4 - HKCU\..\Run: [ofqz] C:\PROGRA~1\FICHIE~1\ofqz\ofqzm.exe  
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe  
 
coches les et cliques sur "Fix Checked"
 
Ensuite supprime les fichiers suivants :  
C:\WINDOWS\TmlraXRldWNo\command.exe  
C:\windows\timessquare.exe  
C:\WINDOWS\System32\paqpor.exe
c:\drsmartloadb.exe  
C:\Program Files\Common Files\VCClient\VCClient.exe  
C:\Program Files\Common Files\VCClient\VCMain.exe  
C:\PROGRA~1\FICHIE~1\ofqz\ofqzm.exe
 
Ensuite redémarre le PC, puis attend 3 ou 4 minutes, ballade toi sur le net et refait un log hijack et reviens nous voir avec ton log
 
NB : pour VCClient.exe et VCMain.exe je ne suis pas super sur, j'ai cherché, et toutes les pages ou je suis tombé, les gens avaient un pb avec, donc tu peux flinguer


Message édité par gatsu35 le 02-01-2006 à 21:49:15
Reply

Marsh Posté le 02-01-2006 à 22:10:03    

Viola g fai comme tu m as dis et voila ce que j obtiens
 
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TmlraXRldWNo\command.exe
C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Thel\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A62E234-3969-4141-B889-C1FC278D8406}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
 
Merci de me dire si c'est bon ou pas....

Reply

Marsh Posté le 02-01-2006 à 22:20:51    

Et puis surtout mettre à jour Windows ...

Reply

Marsh Posté le 02-01-2006 à 22:24:07    

le log tu l'as généré en mode normal ?
 
et met à jour Windows XP là, ya aucune mise à jour, c'est un vrai gruyère

Reply

Marsh Posté le 02-01-2006 à 22:43:07    

oui je l ai généré en mode normal....
merci pr l conseil pr windows..
alors c ok

Reply

Marsh Posté le 02-01-2006 à 22:48:52    

j avai oublié une partie du log
 
Logfile of HijackThis v1.99.1
Scan saved at 22:48:17, on 02/01/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TmlraXRldWNo\command.exe
C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Thel\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A62E234-3969-4141-B889-C1FC278D8406}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
 

Reply

Marsh Posté le 02-01-2006 à 22:48:52   

Reply

Marsh Posté le 02-01-2006 à 22:53:16    

tu redemarres en mode sans echecs et tu me supprimes el fichier là !!!
 
C:\WINDOWS\TmlraXRldWNo\command.exe  
 
et tu me vires la ligne là :  
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe  
 
 
et tu me telecharges et installes le service pack 2 sinon je t'aide plus

Reply

Marsh Posté le 02-01-2006 à 22:55:36    

j ai entendu que le service pack 2 faissai planter les pc ????????

Reply

Marsh Posté le 02-01-2006 à 22:57:03    

Nikiteuch a écrit :

j ai entendu que le service pack 2 faissai planter les pc ????????


 
sûrement pour ça qu'il est installé d'office maintenant, et est présent sur 80% des Windows XP dans le monde :sleep:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 02-01-2006 à 23:29:12    

ai ca va freds45 téten toi un peu ct juste une question...
sinon je n arrive pas supprimet ce fichier là !!!  
 
C:\WINDOWS\TmlraXRldWNo\command.exe  
 
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TmlraXRldWNo\command.exe  
 
le fichier TmlraXRldWNo n'est pas présent ds c:\windows comment faire ?

Reply

Marsh Posté le 03-01-2006 à 00:52:57    

Tête de noeud, affiche les fichiers cachés.
 
OU
 
sinon tu fais Demarrer > executer  
et tu tapes la commande suivante :  
del C:\WINDOWS\TmlraXRldWNo\command.exe
 
OU
 
sinon, si tu as du mal à taper tout ce charabia, tu tapes "cmd" (sans les guillemets), dans la boite de dialogue executer tu va tomber dans la ligne de commande windows.
tu fais les commandes suivantes :  
CD\
cd windows
rd /S /Q tmlr  (tu tapes les premières lettres du répertoire incriminé puis tu appuies sur la touches TABULATION (TAB) ce qui aura pour effet de compléter le restant du nom du répertoire
voili, voilou

Reply

Marsh Posté le 05-01-2006 à 23:35:00    

Bonsoir,
 
merci pour votre aide d'abord ....après une longue bataille pourriez vous me dire si mon pc est clean merci d'avance
 
Logfile of HijackThis v1.99.1
Scan saved at 23:30:31, on 05/01/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Documents and Settings\Thel\Bureau\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

Reply

Marsh Posté le 06-01-2006 à 20:26:44    

Personne ne peut m aider

Reply

Marsh Posté le 06-01-2006 à 21:38:52    

ton log est propre

Reply

Marsh Posté le 07-01-2006 à 09:29:26    

Merci Gatsu35 c'est cool

Reply

Marsh Posté le 07-01-2006 à 20:53:31    

non c'est peut être pas propre
 
As tu cette clé dans ta base de registre  
 

Citation :

HKey Local Machine\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update = WUAUCLT.EXE


 
 
Si oui, alors tu es infecté par un beau petit cheval de trois nommé Troj/Cult-B
donc supprime cette clé, et en mode sans echec supprime la ligne correspondante dans hijack
 
Si non, alors as tu eu Windows Millenium installé sur ton poste ?
---> Oui, tu as eu Millenium installé alors vire la ligne via hijack
C:\WINDOWS\System32\wuauclt.exe    
 
 :hello:


Message édité par bascarol le 07-01-2006 à 20:56:43
Reply

Marsh Posté le 07-01-2006 à 20:56:39    

/!\Attention !!!!!!!!!!!!!!!! /!\
 
le fichier indiqué par bascarol n'est pas un virus  
c'est le programme des mises à jours automatiques de Windows XP !!!
 
wuauclt.exe


Message édité par gatsu35 le 07-01-2006 à 21:16:01
Reply

Marsh Posté le 07-01-2006 à 21:00:24    

bascarol
 
C'est la mise à jour automatique de Windows.  
(Il y a un dossier system32 dans Me ?  :heink: )
 
Gatsu35
 
Il n' y a pas de case, il est ds les processus.
 
Simplement il a fait son log au moment où la recherche de mise à jour avait lieu.
 

Reply

Marsh Posté le 07-01-2006 à 21:08:17    

acrobaze a écrit :

bascarol
 
C'est la mise à jour automatique de Windows.  
(Il y a un dossier system32 dans Me ?  :heink: )
 
Gatsu35
 
Il n' y a pas de case, il est ds les processus.
 
Simplement il a fait son log au moment où la recherche de mise à jour avait lieu.


 
 
Ou j'ai mal écrit ou tu lis trop vite, j'ai jamais dit qu'il y avait un rep system32 dans millenium :non:   et
 
C'est bien pour ca que je lui demande de vérifier la ligne dans la base de registre, si elle n'y est pas alors c'est bon.  
 
pour info cette ligne est le processus wuauclt.exe (wuauclt signifiant Windows Update client for WindowsME)  
c'est un processus générique de Windows Millenium qui sert à mettre à jour Windows Millenium via Internet
 
Il devrait passé un scan en ligne
 
 
 
 :hello:


Message édité par bascarol le 07-01-2006 à 21:45:48
Reply

Marsh Posté le 07-01-2006 à 21:14:09    

acrobaze a écrit :

bascarol
 
 
Gatsu35
 
Il n' y a pas de case, il est ds les processus.
 
Simplement il a fait son log au moment où la recherche de mise à jour avait lieu.


 
et gatsu parlait de la case dans hijack, donc y a bien une case à cocher
 
Maintenant, comme c'est un process, il pourra pas la supprimer comme ca, faut d'abord arreter le process  [:dekad]   ou passer en mode sans echec

Reply

Marsh Posté le 07-01-2006 à 21:16:15    

/!\Attention !!!!!!!!!!!!!!!! /!\
 
le fichier indiqué par bascarol n'est pas un virus  
c'est le programme des mises à jours automatiques de Windows XP !!!
 
wuauclt.exe

Reply

Marsh Posté le 07-01-2006 à 21:30:46    

pfffffffffffffffffffff
 
 
Bon comme vous lisez pas  
 
allez  :hello:  
 
 
La prochaine je vous la fait en Allemand, peut être que vous lirez.
 
Ciao
 
 
 

Reply

Marsh Posté le 07-01-2006 à 22:01:28    

Salut!
 
Petites précisions por ne pas que Nikiteuch soit perdu :
 
- wuauclt.exe, est le fichier des mises à jour autos de windows. Aussi bien de Me que d'XP. Simplement, dans XP, il va se trouver dans le dossier C:\WINDOWS\System32\
Et : il n'est pas lancé par une ligne de commande
HKey Local Machine\Software\Microsoft\Windows\CurrentVersion\Run
 
- wuauclt.exe a vu comme bcp (svchost.exe, winlogon.exe, etc..) son nom emprunté par des malwares.
Dans ce cas, on trouvera dans HijackThis, par exemple ceci :
O4 - HKLM\..\Run: [Microsoft auto update] WUAUCLT.EXE
Et, sous XP, le fichier en question se trouvera par exemple dans :  
c:\windows\system\
 
Je ne sais pas si c'est clair, mais bon... :hello:  
 
 

Reply

Marsh Posté le 07-01-2006 à 22:33:53    

acrobaze a écrit :

Salut!
 
Petites précisions por ne pas que Nikiteuch soit perdu :
 
- wuauclt.exe, est le fichier des mises à jour autos de windows. Aussi bien de Me que d'XP. Simplement, dans XP, il va se trouver dans le dossier C:\WINDOWS\System32\
Et : il n'est pas lancé par une ligne de commande
HKey Local Machine\Software\Microsoft\Windows\CurrentVersion\Run
:hello:


 
ah enfin on va y arriver
 
c'est bien pour ca que je lui ai demandé de VERIFIERRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
 
si il a cette ligne ou pas
 
 
désolé pour les majuscules, mais personne ne lis alors  [:anathema]  
 
pour ton info acrobaze le trojan cult est bien lancé par cette ligne  [:napalm57] d'ou sa présence dans la base de registre en cas d'infection.
 
donc si il vérifie, ca lui prendra 1mn, il sera sur de ne pas être infecté, et nous serons sur de pas lui dire de connerie et nous serons sur que c'est propre
 
 
tiens bizarre, j'avais bien dit que c'etait "peut être" pas propre, j'avais bien employé "peut être" d'ou le terme que j'ai employe de "vérifier", j'ai bien dit "vérifier",  
 
bizarre, j'ai dit bizarre moi, comme c'est bizarre
 
arf quand on relis [:anathema] qu'est ce qu'on gagne comme temps
 

Reply

Marsh Posté le 07-01-2006 à 22:52:41    

ouééé désolé pardon pardon
 
mais je ne pense pas qu'il fallait se lancer dans la recherche de cet exe, le gars a XP, donc comme on est dans le répertoire System32, je ne pense pas qu'il y ait un soucis, et puis de plus si l'exe est remplacé par une merde frauduleuse, par défaut XP détecte ça et demande si on doit ou non restaurer le fichier.
 
encore désolé bascarol

Reply

Marsh Posté le 07-01-2006 à 23:07:18    

Re-salut!
 
Mais...on l'a sous les yeux son log :
Voici les O4 :

Citation :

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"  
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe  
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon


C'est pour ça que je ne comprends pas ce qu'il y a à vérifier. S'il y avait une valeur infectante, on la verrait tout de suite.
Voili, voilou...Bonne nuit!  :hello:

Reply

Marsh Posté le 07-01-2006 à 23:21:54    

acrobaze a écrit :

   Re-salut!
 
Mais...on l'a sous les yeux son log :
Voici les O4 :
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"  

c'est le process Norton qui scan les mail, si il l'enlève Norton out
 

acrobaze a écrit :


O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

C'est le process Norton qui remonte la mise a jour, si il l'enleve Norton out
 
 

acrobaze a écrit :

 
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon [/quote]

Dragdial est le process qui est installé avec le modem Speed touch tu sais la raie verte. Il permet de voir en temps réel tes taux de transfert. C'est une merde mais pas un spy, mais comme ca sert à rien il peut l'enlever en desinstallant via ajouter/supprimer fichiers.
 
 
Le probleme de Norton est qu'il fout des fichiers partout
 

Message cité 1 fois
Message édité par bascarol le 07-01-2006 à 23:31:09
Reply

Marsh Posté le 07-01-2006 à 23:51:35    

gatsu35 a écrit :

ouééé désolé pardon pardon
 
mais je ne pense pas qu'il fallait se lancer dans la recherche de cet exe, le gars a XP, donc comme on est dans le répertoire System32, je ne pense pas qu'il y ait un soucis, et puis de plus si l'exe est remplacé par une merde frauduleuse, par défaut XP détecte ça et demande si on doit ou non restaurer le fichier.
 
encore désolé bascarol


 
t'inquiète c'est a cause de l'heure tardive  [:madyodaseb]  
 
 
par contre la vérification est neccessaire, pourquoi ?
 
 
Parce que le Troj/Cult-B exploite une faille qui utilisait IRC, il etait aussi connu pour faire du masse mailing avec son cousin W32.HLLW.Cult.M@mm via un faille smtp
 
le seul moyen de le détecter est cette ligne de commande dans la base de registre. mais il etait merdique et l'exe s'installait dans n'importe quel rep. Même dans system32 et la il plantait windowsupdate car il se substituait à lui. Et pour cause il porte le même nom.
Mais dans ce cas on s'en apercevait vite car les mises a jour étaient out. C'etait son bug...
 
La cle " HKey Local Machine\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update = WUAUCLT.EXE " lui permet de demarrer à chaque allumage de windows, il suffisait de virer cette cle pour arrete le trojan, ou bien d'arreter le service des mises a jour.
 
Bon OK visiblement c'est pas le cas ici, mais la verif et nécessaire des qu'on voit ce fichier tres confus, vu son nom.  
 
Allez vais dodo moi
 
 :hello:

Reply

Marsh Posté le 07-01-2006 à 23:51:45    

bascarol a écrit :

c'est le process Norton qui scan les mail, si il l'enlève Norton out
 
C'est le process Norton qui remonte la mise a jour, si il l'enleve Norton out
 
 
 Dragdial est le process qui est installé avec le modem Speed touch tu sais la raie verte. Il permet de voir en temps réel tes taux de transfert. C'est une merde mais pas un spy, mais comme ca sert à rien il peut l'enlever en desinstallant via ajouter/supprimer fichiers.
 
 
Le probleme de Norton est qu'il fout des fichiers partout


 
Oki. Il y a un sérieux problème de communication entre nous.
 
Pas grave! Bye!  :hello:

Reply

Marsh Posté le 08-01-2006 à 00:00:44    

acrobaze a écrit :

Oki. Il y a un sérieux problème de communication entre nous.
 
Pas grave! Bye!  :hello:


 
 
arf non pas de prob j'ai saisie   [:arhendal]  c'est.... norton  [:ministry]  
 
bon vraiment dodo
 
[:absolut_limon]

Reply

Marsh Posté le 08-01-2006 à 09:20:04    

[troll ON]
Norton c'est pire qu'un virus ou un spyware à lui tout seul :  
-Il ralenti considérablement le système
-Il affiche à chaque démarrage des messages demandant de mettre à jour, ou lorsque l'abonnement est expiré, il veut qu'on paye
[troll OFF]

Reply

Marsh Posté le 16-01-2006 à 20:20:18    

Bon au final messieurs que dois je vraiment faire ?

Reply

Marsh Posté le 16-01-2006 à 22:37:34    

Slt,
 
Rien de spécial. Un antivirus en ligne, par exemple, pour netoyer les restes :
http://www.bitdefender.fr/scan8/ie.html

Reply

Marsh Posté le 17-01-2006 à 12:52:22    

slt
 
Si quelqu'un a besoin de voir son log en detail :
 
go => http://www.hijackthis.de/fr
 
;)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed