[Mes logs hijackthis]

[Mes logs hijackthis] - Sécurité - Windows & Software

Marsh Posté le 18-09-2004 à 20:52:30    

Bon ici je mettrais mes rapports.
Actuellement, mon ordi rame des fois d'une façon spontanée et je n'en connais pas l'origine. :cry:  
 
 
Rapport du samedi 18 septembre 20:53


Logfile of HijackThis v1.98.2
Scan saved at 20:51:46, on 18/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Dossier nicolas\Mes log et applic\hjt\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Weather] C:\PROGRA~1\AWS\WEATHE~1\Weather.exe 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093395977712
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15
 


 
Rapport du mardi 19 octobre 22:10


Logfile of HijackThis v1.98.2
Scan saved at 22:08:45, on 19/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Dossier nicolas\Mes log et applic\hjt\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=c87f8c802f1b240623171bfa62bd7ba8b0bb54a97ec0326eb1eb84bb6f599232210336797cbe0015a4bec6594c3783b33c747ba2:5895d9b3ba758e0bc843a87e7b26fedd
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093395977712
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15
 


 
Je me sert de ce site pour analyser mes logs mais il y a des abérations tels que messenger plus considéré comme dangereux:
http://www.hijackthis.de/index.php?langselect=french


Message édité par nicooldu64 le 19-10-2004 à 22:12:53
Reply

Marsh Posté le 18-09-2004 à 20:52:30   

Reply

Marsh Posté le 18-09-2004 à 20:56:13    

:hello:
 
non rien de mauvais dans ce log, ou alors j'ai de la me**e dans les yeux :D


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 18-09-2004 à 21:30:09    

minipouss a écrit :

:hello:
 
non rien de mauvais dans ce log, ou alors j'ai de la me**e dans les yeux :D


Tu dois sans doute avoir raison :)  mais qu'est ce qui pourrait autant faire ramer mon ordi? :heink:

Reply

Marsh Posté le 18-09-2004 à 21:46:26    

défragmentation nécessaire?


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 20-09-2004 à 16:08:07    

pour verifier correctement les 04 :
http://www.sysinfo.org/startuplist.php
 
tu entre le nom entre crochet pis ca te dit a koi ca correspond  :jap:  

Reply

Marsh Posté le 21-09-2004 à 20:09:22    

minipouss a écrit :

défragmentation nécessaire?


Non j'ai défragmenté il y a une ou 2 semaines.

Reply

Marsh Posté le 21-09-2004 à 20:09:43    

JohnSmith a écrit :

pour verifier correctement les 04 :
http://www.sysinfo.org/startuplist.php
 
tu entre le nom entre crochet pis ca te dit a koi ca correspond  :jap:


Merci je vais voir ce que ça donne :jap:

Reply

Marsh Posté le 24-09-2004 à 13:28:43    

Bon j'ai quelques problèmes mais sans aucun doute liés entre eux:
-des icones sont apparus sur le bureau tel que "casino", ma page de démarrage est à nouveau "web searching" et des favoris se sont rajoutés à mon insu. Peut être que vous trouverez quelque chose dans ce rapport:
 


Logfile of HijackThis v1.98.2
Scan saved at 12:47:07, on 24/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\WINDOWS\System32\qoafupcd.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Dossier nicolas\Mes log et applic\hjt\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mpykdednygdhybfwc.com/f2YRuMcR0M3UC9UmReJAnQDVjo6xh9nRnlPJMy8cm9p5O4pLk21hQGCpqA0evH7Y.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {4A974357-1028-9AE6-6CF2-B4401C93131A} - C:\PROGRA~1\MOVEHE~1\option bait.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [linwxut] C:\WINDOWS\linwxut.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [xusipxokgui] C:\WINDOWS\System32\qoafupcd.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [LogSize] C:\PROGRA~1\Greatowns\supportclockteam.exe
O4 - HKLM\..\Run: [Army Noun Save Camp] C:\Documents and Settings\All Users\Application Data\AIM SPAM ARMY NOUN\TitleSeek.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Weather] C:\PROGRA~1\AWS\WEATHE~1\Weather.exe 1
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk14245FR
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=168d3f0c8f5ebbd0d83ee5445ae40e55469aa3fdaf24dd3540c41ee1ea302c2d59104a57d59aa8baedc40580da1dd4eb01d54f:eeba47ee03d937f4aaa2edc6fc4885a4
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093395977712
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15


Message édité par nicooldu64 le 24-09-2004 à 14:09:37
Reply

Marsh Posté le 24-09-2004 à 13:30:38    

Et j'allais oublier des spams (encore sur le casino) apparaissent sans arrêt, ainsi que de nouvelles barres en dessous de la barre d'adresse que je n'arrive pas à supprimer :(

Reply

Marsh Posté le 24-09-2004 à 13:48:45    

Logique, il te reste des crasses.
 
Scan en ligne: http://www.hijackthis.de/index.php?langselect=french il te dira lesquels virer. Si tu as des questions en plus pose-les ici.


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 24-09-2004 à 13:48:45   

Reply

Marsh Posté le 24-09-2004 à 18:01:00    

nicooldu64
 
Télécharge et lance cet "uninstall":
http://lop.com/help.html#uninstall
 
Redémarre.
 
Poste un nouvel HijackThis.

Reply

Marsh Posté le 25-09-2004 à 01:23:09    

sanpellegrino a écrit :

Logique, il te reste des crasses.  
 
Scan en ligne: http://www.hijackthis.de/index.php?langselect=french il te dira lesquels virer. Si tu as des questions en plus pose-les ici.


 
 
Bon j'ai fait l'évaluation du log et quelques points me paraissent douteux notamment le lanceur de club internet qui d'après eux doit être effacé à tout prix :heink: ou  messenger plus. :??:
 


MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)    
Bon   Indique la version de l’Internet Explorer. Version actuelle : 6.00.2800.1106!   Votre version semble être actuelle. (6.00.2800.1106)  
  C:\WINDOWS\System32\smss.exe    
Bon   Tâche en cours. (smss.exe)
Systemprozess - Anwendung, die benutzt wird um Sitzungen zu starten, verwalten und löschen.    
  C:\WINDOWS\system32\winlogon.exe    
Bon   Tâche en cours. (winlogon.exe)
Systemprozess - Windows Login Routine    
  C:\WINDOWS\system32\services.exe    
Bon   Tâche en cours. (services.exe)
Systemprozess - Verwaltet die Systemdienste.    
  C:\WINDOWS\system32\lsass.exe    
Bon   Tâche en cours. (lsass.exe)
Systemprozess    
  C:\WINDOWS\system32\svchost.exe    
Bon   Tâche en cours. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.    
  C:\WINDOWS\System32\svchost.exe    
Bon   Tâche en cours. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.    
  C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe    
Bon   Tâche en cours. (ccSetMgr.exe)
     
  C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe    
Bon   Tâche en cours. (ccEvtMgr.exe)
Event logging application    
  C:\WINDOWS\system32\spoolsv.exe    
Bon   Tâche en cours. (spoolsv.exe)
Systemprozess    
  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe    
Bon   Tâche en cours. (aswUpdSv.exe)
     
  C:\Program Files\Alwil Software\Avast4\ashServ.exe    
Bon   Tâche en cours. (ashServ.exe)
     
  C:\WINDOWS\System32\drivers\CDAC11BA.EXE    
Bon   Tâche en cours. (CDAC11BA.EXE)
     
  C:\Program Files\Norton AntiVirus\navapsvc.exe    
Bon   Tâche en cours. (navapsvc.exe)
Norton AntiVirus application that provides auto-protection of the system.    
  C:\WINDOWS\System32\nvsvc32.exe    
Bon   Tâche en cours. (nvsvc32.exe)
   Non dangereux, mais tout de même superflu.  
  C:\Program Files\Norton AntiVirus\SAVScan.exe    
Bon   Tâche en cours. (SAVScan.exe)
Prozess von Norton Antivirus.    
  C:\WINDOWS\System32\svchost.exe    
Bon   Tâche en cours. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.    
  C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe    
Bon   Tâche en cours. (hpztsb04.exe)
     
  C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe    
Bon   Tâche en cours. (ccApp.exe)
     
  C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE    
Bon   Tâche en cours. (LVCOMS.EXE)
     
  C:\Program Files\Messenger Plus! 3\MsgPlus.exe    
Méchant   Tâche en cours. (MsgPlus.exe)
Messenger Plus! Wir empfehlen das Programm zu deinstallieren. (Spyware)   Méchant ! Terminez cette tâche manuellement et essayez de l’effacer !  
  C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe    
Bon   Tâche en cours. (realsched.exe)
     
  C:\Program Files\Windows SyncroAd\SyncroAd.exe    
Méchant   Tâche en cours. (SyncroAd.exe)
Windows SyncroAd   Méchant ! Terminez cette tâche manuellement et essayez de l’effacer !  
  C:\Program Files\Windows SyncroAd\WinSync.exe    
Méchant   Tâche en cours. (WinSync.exe)
Windows SyncroAd   Méchant ! Terminez cette tâche manuellement et essayez de l’effacer !  
  C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe    
Bon   Tâche en cours. (ashDisp.exe)
     
  C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe    
Bon   Tâche en cours. (ashmaisv.exe)
     
  C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe    
Bon   Tâche en cours. (PSFree.exe)
PopUp Stopper    
  C:\Program Files\Internet Explorer\iexplore.exe    
Bon   Tâche en cours. (iexplore.exe)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)    
  C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe    
Bon   Tâche en cours. (dslmon.exe)
     
  c:\progra~1\intern~1\iexplore.exe    
Bon   Tâche en cours. (iexplore.exe)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)    
  C:\WINDOWS\explorer.exe    
Bon   Tâche en cours. (explorer.exe)
Systemprozess für Desktop und Taskleiste.    
  D:\Dossier nicolas\Mes log et applic\hjt\HijackThis.exe    
Bon   Tâche en cours. (HijackThis.exe)
Tool, mit dem sie dieses Logfile erzeugt haben.   Souvenez-vous que Hijackthis doit être exécuté dans son propre dossier. C'est seulement s'il est exécuté dans un dossier réservé, qu'il créera des sauvegardes!  
  C:\Program Files\Internet Explorer\iexplore.exe    
Bon   Tâche en cours. (iexplore.exe)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)    
  R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.fr    
Bon   Cette inscription a été identifiée comme étant non dangereuse.    
  R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.fr    
Bon   Cette inscription a été identifiée comme étant non dangereuse.    
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/    
Bon   Ce site a été identifié comme étant non dangereux    
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.czrhgyjskdoydpmby    
Eventuellement méchant   Il y a de fortes chances que ce site soit méchant !   Si vous ne connaissez pas le site, 'http://www.czrhgyjskdoydpmby.biz/f2YRuMcR0M3UC9UmReJAnQDVjo6xh9nRnlPJMy8cm9oEolzcfiSMRnCpqA0evH7Y.html ' , il vaut mieux effacer cette inscription.  
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr    
Bon   Ce site a été identifié comme étant non dangereux    
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens    
Bon   Ce site a été identifié comme étant non dangereux    
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acro    
Bon   Risque d'inscription dangereuse. Ce programme ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) a été identifié comme étant non dangereux. Taux de précision: 100,00 %    
  O2 - BHO: (no name) - {4A974357-1028-9AE6-6CF2-B4401C93131A} - C:\PROGRA~1\MOVEHE~1\option bait.exe    
Inconnu   Risque d'inscription dangereuse. Ce programme ([4A974357-1028-9AE6-6CF2-B4401C93131A] - Treffer: ) a été identifié comme étant non dangereux. Taux de précision: 0,00 %   Programme inconnu.  
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll    
Bon   Risque d'inscription dangereuse. Ce programme ([53707962-6F74-2D53-2644-206D7942484F] - Treffer: 53707962-6F74-2D53-2644-206D7942484F) a été identifié comme étant non dangereux. Taux de précision: 100,00 %    
  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\Na    
Bon   Risque d'inscription dangereuse. Ce programme ([BDF3E430-B101-42AD-A544-FADC6B084872] - Treffer: BDF3E430-B101-42AD-A544-FADC6B084872) a été identifié comme étant non dangereux. Taux de précision: 100,00 %    
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx    
Bon   Risque d'inscription dangereuse. Ce programme ([8E718888-423F-11D2-876E-00A0C9082467] - Treffer: 8E718888-423F-11D2-876E-00A0C9082467) a été identifié comme étant non dangereux. Effacer l'inscription si le nom est composé de signes n’ayant aucune signification quelconque, si elle se trouve dans le répertoire 'Application Data' et si elle est du genre 'Inconnu'. Taux de précision: 100,00 %    
  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton An    
Bon   Risque d'inscription dangereuse. Ce programme ([42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6] - Treffer: 42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6) a été identifié comme étant non dangereux. Effacer l'inscription si le nom est composé de signes n’ayant aucune signification quelconque, si elle se trouve dans le répertoire 'Application Data' et si elle est du genre 'Inconnu'. Taux de précision: 100,00 %    
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install    
Bon   Ce programme nwiz a été identifié : nwiz. Taux de précision: 100,00 % (Résultats)    
  O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe    
Bon   Ce programme HPDJ Taskbar Utility a été identifié : Redline Taskbar. Taux de précision: 50,86 % (Résultats)   Non dangereux, mais tout de même superflu.  
  O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"    
Bon   Ce programme ccApp a été identifié : ccApp. Taux de précision: 95,00 % (Résultats)    
  O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE    
Bon   Ce programme LVCOMS a été identifié : LVComs. Taux de précision: 29,55 % (Résultats)   Non dangereux, mais tout de même superflu.  
  O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033    
Bon   Ce programme DAEMON Tools-1033 a été identifié : DaemonorDAEMON Tools-1033. Taux de précision: 48,17 % (Résultats)    
  O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"    
Bon   Ce programme MessengerPlus3 a été identifié : MessengerPlusorMessengerPlus2. Taux de précision: 76,07 % (Résultats)   Non dangereux, mais tout de même superflu.  
  O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center    
Bon   Ce programme SSC_UserPrompt a été identifié : SSC_UserPrompt. Taux de précision: 100,00 % (Résultats)    
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osbo    
Bon   Ce programme TkBellExe a été identifié : TkBell. Taux de précision: 66,53 % (Résultats)   Non dangereux, mais tout de même superflu.  
  O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe    
Méchant   Ce programme Windows SyncroAd a été identifié : Windows SyncroAd. Taux de précision: 100,00 % (Résultats)   Effacer à tout prix !  
  O4 - HKLM\..\Run: [linwxut] C:\WINDOWS\linwxut.exe    
Inconnu   Ce programme linwxut a été identifié : Rien. Taux de précision: 18,18 % (Résultats)   Programme inconnu.  
  O4 - HKLM\..\Run: [xusipxokgui] C:\WINDOWS\System32\qoafupcd.exe    
Inconnu   Ce programme xusipxokgui a été identifié : Rien. Taux de précision: 6,67 % (Résultats)   Programme inconnu.  
  O4 - HKLM\..\Run: [adiras] adiras.exe    
Bon   Ce programme adiras a été identifié : Adiras. Taux de précision: 82,58 % (Résultats)    
  O4 - HKLM\..\Run: [LogSize] C:\PROGRA~1\Greatowns\supportclockteam.exe    
Inconnu   Ce programme LogSize a été identifié : Rien. Taux de précision: 18,18 % (Résultats)   Programme inconnu.  
  O4 - HKLM\..\Run: [Army Noun Save Camp] C:\Documents and Settings\All Users\Application Data\AIM SPA    
Méchant   Ce programme Army Noun Save Camp a été identifié : Save. Taux de précision: 39,13 % (Résultats)   Effacer à tout prix !  
  O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe    
Bon   Ce programme avast! a été identifié : Avast!. Taux de précision: 75,00 % (Résultats)    
  O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe    
Bon   Ce programme ashMaiSv a été identifié : ashMaiSv. Taux de précision: 96,15 % (Résultats)    
  O4 - HKLM\..\RunOnce: [AAW] "C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"    
Inconnu   Ce programme AAW a été identifié : Rien. Taux de précision: 0,00 % (Résultats)   Programme inconnu.  
  O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"    
Bon   Ce programme PopUpStopperFreeEdition a été identifié : PopUpStopperFreeEdition. Taux de précision: 57,69 % (Résultats)    
  O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart    
Bon   Ce programme MessengerPlus3 a été identifié : MessengerPlusorMessengerPlus2. Taux de précision: 76,07 % (Résultats)   Non dangereux, mais tout de même superflu.  
  O4 - HKCU\..\Run: [Weather] C:\PROGRA~1\AWS\WEATHE~1\Weather.exe 1    
Bon   Ce programme Weather a été identifié : Desktop Weather 3. Taux de précision: 40,71 % (Résultats)   Non dangereux, mais tout de même superflu.  
  O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent    
Bon   Ce programme Steam a été identifié : Steam. Taux de précision: 95,00 % (Résultats)   Non dangereux, mais tout de même superflu.  
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background    
Bon   Ce programme msnmsgr a été identifié : MsnMsgr. Taux de précision: 72,08 % (Résultats)    
  O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe    
Méchant   Ce programme 'Club-Internet.lnk (lanceur.exe)' a été identifié: 'Internet.exe (Internet.exe )'. Taux de précision: 59,03 % (Résultats)   Effacer à tout prix !  
  O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe    
Bon   Ce programme 'DSLMON.lnk (dslmon.exe)' a été identifié: 'DSLMON (DSLMON.exe)'. Taux de précision: 57,50 % (Résultats)    
  O4 - Global Startup: FlowProtector 2005.lnk = C:\Program Files\CheckFlow\FlowProtector\FlowProtector    
Inconnu   Ce programme 'FlowProtector 2005.lnk (FlowProtector2005.exe)' a été identifié: 'Kein ()'. Taux de précision: 7,69 % (Résultats)   Programme inconnu.  
  O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.    
Méchant   Ce programme 'MyWebSearch Email Plugin.lnk (MWSOEMON.EXE)' a été identifié: 'MyWebSearch Email Plugin (mwsoemon.exe )'. Taux de précision: 50,00 % (Résultats)   Effacer à tout prix !  
  O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present    
Probablement bon   Effacer si l’option 'Lock homepage from changes' n’a pas été activée dans un programme anti-spyware.   Effacer si cette inscription est involontaire !  
  O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present    
Probablement bon   Effacer si l’option 'Lock homepage from changes' n’a pas été activée dans un programme anti-spyware.   Effacer si cette inscription est involontaire !  
  O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/b    
Bon   Cette inscription a été identifiée comme étant non dangereuse.    
  O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie    
Méchant   Cette inscription est probablement méchante.   Il vaut mieux effacer cette inscription !  
  O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts    
Méchant   Cette inscription est probablement méchante.   Il vaut mieux effacer cette inscription !  
  O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.    
Bon   Cette inscription a été identifiée comme étant non dangereuse.    
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.mic    
Bon   Cette inscription a été identifiée comme étant non dangereuse.    
  O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/spee    
Méchant   Cette inscription est probablement méchante.   Il vaut mieux effacer cette inscription !  
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zo    
Bon   Cette inscription a été identifiée comme étant non dangereuse.    
  O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone    
Bon   Cette inscription a été identifiée comme étant non dangereuse.    
  O17 - HKLM\System\CCS\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117    
Eventuellement méchant   Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.   Effacer si l’IP ou le domaine '194.117.200.10 194.117.200.15 ' ne vous est pas connu.  
  O17 - HKLM\System\CS1\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117    
Eventuellement méchant   Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.   Effacer si l’IP ou le domaine '194.117.200.10 194.117.200.15 ' ne vous est pas connu.

 

Reply

Marsh Posté le 25-09-2004 à 09:46:30    

nicooldu64 a écrit :

Bon j'ai fait l'évaluation du log et quelques points me paraissent douteux notamment le lanceur de club internet qui d'après eux doit être effacé à tout prix :heink: ou  messenger plus. :??:


Sert à rien de coller tout ce truc, en plus c'est presque illisible.
 
Garde-le si tu penses que c'est utile surtout, l'analyseur n'est pas fiable à 100% (cf. MsgPlus qu'il détecte aussi comme dangereux... alors que pas du tout). La seule chose que tu as à faire maintenant à partir de ce log c'est de déterminer si les trucs inconnus ou dangereux le sont vraiment.
 
On n'est pas ici pour faire tout le boulot à ta place, cherche par toi-même et si tu as des hésitations questionne ici !


Message édité par sanpellegrino le 25-09-2004 à 09:46:58

---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 25-09-2004 à 10:44:13    


Tu n'as pas lancé l'"uninstall" indiqué plus haut!
 
 
Fais-le.
 

Reply

Marsh Posté le 25-09-2004 à 12:19:39    

Acrobaze a écrit :

Tu n'as pas lancé l'"uninstall" indiqué plus haut!
 
 
Fais-le.


Je viens de le faire mais je ne sais pas à quoi ça sert lol [:toto le hros]  
 


Logfile of HijackThis v1.98.2
Scan saved at 11:58:09, on 25/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Dossier nicolas\Mes log et applic\hjt\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: FlowProtector 2005.lnk = C:\Program Files\CheckFlow\FlowProtector\FlowProtector2005.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=168d3f0c8f5ebbd0d83ee5445ae40e55469aa3fdaf24dd3540c41ee1ea302c2d59104a57d59aa8baedc40580da1dd4eb01d54f:eeba47ee03d937f4aaa2edc6fc4885a4
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093395977712
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15


Reply

Marsh Posté le 25-09-2004 à 12:21:21    

Perso je pense qu'une ligne est assez suspecte:
"O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] .cab"
edit: ainsi que "O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe "


Message édité par nicooldu64 le 25-09-2004 à 12:28:56
Reply

Marsh Posté le 25-09-2004 à 12:32:49    


Ne fais tourner qu'HijackThis et fixe ces deux lignes:
 
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] c6fc4885a4  
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] 1.0.0.8.ca
 

Reply

Marsh Posté le 25-09-2004 à 12:49:34    

Acrobaze a écrit :

Ne fais tourner qu'HijackThis et fixe ces deux lignes:
 
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] c6fc4885a4  
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] 1.0.0.8.ca


Ok mas est tu sûr que je ne dois pas fixer leslignes avec "Syncro AD"?
Au fait je réalise cette "opération" en mode sans échec ou mode normal?

Reply

Marsh Posté le 25-09-2004 à 13:36:44    

En mode sans échec c'est mieux. SyncroAd ça pue, à ta place je le virerais.


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 19-10-2004 à 22:16:26    

Rapport du mardi 19 octobre 22:10 sur le premier post:
 


Logfile of HijackThis v1.98.2
Scan saved at 22:08:45, on 19/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Dossier nicolas\Mes log et applic\hjt\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=c87f8c802f1b240623171bfa62bd7ba8b0bb54a97ec0326eb1eb84bb6f599232210336797cbe0015a4bec6594c3783b33c747ba2:5895d9b3ba758e0bc843a87e7b26fedd
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093395977712
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{26A4EE75-A017-4EFE-9C9B-1563FE156D8F}: NameServer = 194.117.200.10 194.117.200.15

Reply

Marsh Posté le 19-10-2004 à 22:18:56    


Il est clean!

Reply

Marsh Posté le 19-10-2004 à 22:24:19    

et ca ?
 
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] .0.0.8.cab

Reply

Marsh Posté le 19-10-2004 à 22:53:44    

Yes! En fait, il y a deux cab qui peuvent être supprimés:
 
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 7e7b26fedd  
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] .0.0.8.cab  
 
Mais le rapport est clean quand mm : pas d'exe ou de dll infectants actifs.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed