Log hijackthis !! - Sécurité - Windows & Software
Marsh Posté le 05-09-2004 à 16:00:14
O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Program Files\Common Files\midaddle\midaddle.dll
O3 - Toolbar: Search - {2CF0B992-5EEB-4143-99C0-5297EF71F444} - (no file)
O4 - HKLM\..\Run: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [HRZq] C:\windows\temp\HRZq.exe
O4 - HKLM\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\Run: [Xuj] C:\documents and settings\admin\local settings\temp\Xuj.exe
O4 - HKLM\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\RunServices: [Shell Monitor] taskmgr32.exe
O4 - HKCU\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKCU\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKCU\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Et supprime:
TOUS les *.exe des fins de lignes O4.
------------------------------------------
Poste un nouvel HijackThis.
Parce que ce spools.exe n'est pas très net, non plus. On va voir.
Marsh Posté le 05-09-2004 à 16:06:01
C:\WINDOWS\System32\dllcon.exe
C:\WINDOWS\System32\taskmgr32.exe
C:\WINDOWS\System32\wuamgrd65.exe
Voilà ceux que tu trouveras cerainement.
Les autres, ce sont peut-être d'anciennes infections, mais recherche-les quand même.
----------
Et spools.exe ne vaut pas un clou. Mais on verra après.
Marsh Posté le 05-09-2004 à 16:11:44
GenZo-w a écrit : |
voila mais je serais toi je passerai d'abord un scan en ligne chez secuser par exemple car il doit y avoir des virus RBOT et agobot peut-être.
ensuite refais un scan de Hijack This pour voir ce qu'il reste dans tout ce que je t'ai dit. Puis tu arrêtes les processus malsains dans le gestionnaire de tâche et tu fix les lignes avec Hijack This
edit : oula t'es trop rapide pour moi Acrobaze sur ce coup là
Marsh Posté le 05-09-2004 à 16:16:16
Ben \Messenger Plus! 3, en lui-même semble être intéressant. Mais quand les gars l'installent, ils ne font pas attention et ils installent avec les trop fameux "sponsors".
Alors là, c'est galère.
Marsh Posté le 05-09-2004 à 16:23:43
exact, d'accord avec toi. encore une fois
edit : en tout cas ça a l'air pas mal virus et un peu spyware tout ça.
Marsh Posté le 05-09-2004 à 16:40:03
minipouss a écrit : edit : en tout cas ça a l'air pas mal virus et un peu spyware tout ça. |
Faut bien amener un peu de variété...ce serait lassant!
Marsh Posté le 05-09-2004 à 17:20:38
Logfile of HijackThis v1.97.7
Scan saved at 17:19:14, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spools.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
E:\Software & reseau\Sécurité\Spyware\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
----------------------
Voici le new log... Alors pour spools.exe ? Je supprime également Msgplus.exe ?
Marsh Posté le 05-09-2004 à 17:24:23
essaye de récupérer Hijack This v 1.98.2 c'est le dernier sorti.
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe
je cherche pour le dp-him et le autoupdater mais ils me semblent louches
Marsh Posté le 05-09-2004 à 17:26:46
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe
Donc pareil:
-Cocher les lignes
-Cliquer "Fix checked"
-Supprimer en mode ss échec:
C:\WINDOWS\uptodate.exe
C:\Program Files\AutoUpdate <-dossier
C:\WINDOWS\System32\spools.exe (à ne pas confondre avec spoolsv.exe)
Et ce sera clean!
Marsh Posté le 05-09-2004 à 17:28:05
pour le dp-him c'est ça : http://pestpatrol.com/pestinfo/d/dealhelper_com.asp mais tu n'as peut-être plus l'exe. de toute façon fixe le et recherche le fichier pour le virer
par contre gearsec c'est avec itunes
Marsh Posté le 05-09-2004 à 17:33:53
Yes....y'en a une floppée de dp-him!
http://research.pestpatrol.com/Ana [...] 001701.asp
Marsh Posté le 05-09-2004 à 17:40:47
c'est justement là que je l'ai trouvé j'ai choisi celui qui se trouve dans le répertoire system32
Marsh Posté le 05-09-2004 à 17:54:00
Donc, pour synthétiser, que ce soit clair pour GenZo:
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe
Donc pareil:
-Cocher les lignes
-Cliquer "Fix checked"
-Supprimer en mode ss échec:
C:\WINDOWS\uptodate.exe
C:\Program Files\AutoUpdate <-dossier
C:\WINDOWS\System32\spools.exe (à ne pas confondre avec spoolsv.exe)
C:\WINDOWS\System32\dp-him.exe
Marsh Posté le 05-09-2004 à 17:54:05
Je laisse gearsec alors ? Je sais que c'est pour graver avec iTunes mais est-ce-que c'est vraiment utile ? (désolé pour le retard mais je me bats au tel avec free !!)
Marsh Posté le 05-09-2004 à 17:57:05
Marsh Posté le 05-09-2004 à 17:58:47
ReplyMarsh Posté le 05-09-2004 à 18:15:57
J'arrive pas à enlever spools.exe. J'ai pourtant coché et cherché en mode sans échec mais il revient ensuite...
Logfile of HijackThis v1.98.2
Scan saved at 18:12:18, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spools.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
-----------------------------
D'ailleurs ça aussi c'est bizarre : O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Marsh Posté le 05-09-2004 à 18:21:18
Essaye comme ceci :
ControlAltSuppr
Termine d'abord le processus spools.exe
Puis reprend:
-cocher et fixer les lignes ds HijackThis
-suppression en mode ss échec.
-------
Oui, il reste 2/3 trucs à fixer, mais c'est mineur.
Edit : et s'il résiste, on sortira l'artillerie! Non, mais!
Marsh Posté le 05-09-2004 à 18:34:12
Logfile of HijackThis v1.98.2
Scan saved at 18:31:09, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
------------------------------
Apparement c'est bon pour spools.exe donc on range l'artillerie
Autrement il reste encore quelques trucs à fix ? Je vous remercie pour votre aide très très précieuse
Marsh Posté le 05-09-2004 à 18:37:05
Yes!
Donc ceci, à cocher et fixer, puis redémarrer:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Marsh Posté le 05-09-2004 à 18:40:30
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime est pas super utile non?
idem pour le update de java sun?
Marsh Posté le 05-09-2004 à 18:48:43
Oui, c'est même plombant...
Démarrer->exécuter->taper msconfig
Décocher:
QuickTime\qttask.exe
\Real\Update_OB\realsched.exe
Java\j2re1.4.2_05\bin\jusched.exe
Mais ça, ce ne sont pas des spywares.
Bon, enfin, c'est une question de choix.
Marsh Posté le 05-09-2004 à 18:56:15
Oui tout est bon apparement !! @+ et merci encore !
Logfile of HijackThis v1.98.2
Scan saved at 18:55:46, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
Marsh Posté le 05-09-2004 à 19:13:21
Accepte le démarrage sélectif..."Ne plus afficher...."
pour faire disparaître msconfig.
Marsh Posté le 05-09-2004 à 15:51:15
Logfile of HijackThis v1.97.7
Scan saved at 15:35:03, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dllcon.exe
C:\WINDOWS\System32\taskmgr32.exe
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spools.exe
D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe
C:\WINDOWS\System32\wuamgrd65.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
D:\Video & Son\Son\Lecture\Winamp 5.03\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Software & reseau\Sécurité\Spyware\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Program Files\Common Files\midaddle\midaddle.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search - {2CF0B992-5EEB-4143-99C0-5297EF71F444} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [HRZq] C:\windows\temp\HRZq.exe
O4 - HKLM\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\Run: [Xuj] C:\documents and settings\admin\local settings\temp\Xuj.exe
O4 - HKLM\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\RunServices: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKCU\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKCU\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
-----------------------------
En fait certains trucs me paraissent suspects genre : xuj.exe, rsc.exe (parait que c'est un backdoor) et taskmgr32.exe (parait que c'est un worm). Merci beaucoup de votre aide