un petit hijack this, encore un oui, mais c est vrai qu'il est petit !
un petit hijack this, encore un oui, mais c est vrai qu'il est petit ! - Sécurité - Windows & Software
Marsh Posté le 27-09-2006 à 18:33:47
Bonjour
La ligne 020 correspond à une infection Look2me, donc pas un seul fichier à supprimer.
Et il y a une autre infection.
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
Ewido
http://www.ewido.net/en/download/
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".
2 Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7
* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
* Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
#Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
3 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
4 Lance le nettoyage avec CCleaner.
5 Lance Ewido.
Clique sur le bouton Scanner (de la barre d'outils)
Puis sur l'onglets Settings, pour How to Act. Clique sur Recommanded Actions. Sélectionne Quarantine.
Reviens a l'onglet Scan. Clique Complete system Scan
A la fin du scan, choisis l'option " Apply All Actions " en bas.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit facile à retrouver.
6 Redémarre normalement
Poste le rapport d'Ewido avec le rapport situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Marsh Posté le 27-09-2006 à 20:25:30
super, merci beaucoup !! 
j ai eu un peu de mal 
a lancer lock2me, mais ça a fini par marcher! 
Great ! 
je vous poste les différents logs demandés et ne sais quoi faire pour vous dire ma reconnaissance !
je vais télécharger le sp2
s'il y a d autres choses à faire, dites moi.
merci mille fois et bonne soirée!
Ewido n'a plus rien trouvé au dernier scan, donc plus de rapport!
Voici le hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 20:14:30, on 27/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
F:\Program Files\ewido anti-spyware 4.0\guard.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\RunDll32.exe
F:\WINDOWS\System32\sistray.EXE
F:\WINDOWS\System32\keyhook.exe
F:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\ewido anti-spyware 4.0\ewido.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Documents and Settings\Thècle\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - F:\Program Files\Deskbar\deskbar.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] F:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] F:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] F:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "F:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - F:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - F:\Program Files\ewido anti-spyware 4.0\guard.exe
| chercheurbis a écrit : Bonjour |
et voici l autre rapport, celui de look2Me destroyer
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 27/09/2006 19:44:07
Infected! F:\WINDOWS\system32\hrn6055se.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020804.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020813.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020878.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020961.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020966.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020970.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020977.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020984.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020990.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020995.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021001.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021004.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021008.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021012.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021177.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021183.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021189.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021193.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021194.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021195.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021196.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021197.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021198.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021199.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021200.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021201.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021202.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021203.dll
Infected! F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021207.dll
Infected! F:\WINDOWS\system32\hrn6055se.dll
Infected! F:\WINDOWS\system32\m8ls0i37e8.dll
Infected! F:\WINDOWS\System32\guard.tmp
Attempting to delete infected files...
Attempting to delete: F:\WINDOWS\system32\hrn6055se.dll
F:\WINDOWS\system32\hrn6055se.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020804.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020804.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020813.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020813.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020878.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020878.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020961.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020961.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020966.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020966.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020970.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020970.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020977.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020977.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020984.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020984.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020990.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020990.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020995.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0020995.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021001.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021001.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021004.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021004.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021008.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021008.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021012.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021012.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021177.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021177.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021183.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021183.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021189.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021189.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021193.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021193.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021194.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021194.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021195.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021195.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021196.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021196.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021197.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021197.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021198.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021198.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021199.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021199.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021200.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021200.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021201.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021201.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021202.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021202.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021203.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021203.dll Deleted successfully!
Attempting to delete: F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021207.dll
F:\System Volume Information\_restore{588C7C97-9211-4019-A9EC-6AD5160DF970}\RP80\A0021207.dll Deleted successfully!
Attempting to delete: F:\WINDOWS\system32\hrn6055se.dll
F:\WINDOWS\system32\hrn6055se.dll Deleted successfully!
Attempting to delete: F:\WINDOWS\system32\m8ls0i37e8.dll
F:\WINDOWS\system32\m8ls0i37e8.dll Deleted successfully!
Attempting to delete: F:\WINDOWS\System32\guard.tmp
F:\WINDOWS\System32\guard.tmp Deleted successfully!
Making registry repairs.
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DateTime
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{02C17C5C-BF6E-4F97-93C4-DFE022ECBBB4}"
HKCR\Clsid\{02C17C5C-BF6E-4F97-93C4-DFE022ECBBB4}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{67ADF3C8-E538-4BA3-A344-5FACAA01C932}"
HKCR\Clsid\{67ADF3C8-E538-4BA3-A344-5FACAA01C932}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{574F972F-4FBB-430B-A7CC-829B0059C109}"
HKCR\Clsid\{574F972F-4FBB-430B-A7CC-829B0059C109}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{7F005E56-2463-40FD-AB75-F564F0F9BAB4}"
HKCR\Clsid\{7F005E56-2463-40FD-AB75-F564F0F9BAB4}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{FA767C5B-D955-47F2-8EEF-44EA4DE51062}"
HKCR\Clsid\{FA767C5B-D955-47F2-8EEF-44EA4DE51062}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B7F21D21-1D45-4589-8A7D-FCB0EE3E5651}"
HKCR\Clsid\{B7F21D21-1D45-4589-8A7D-FCB0EE3E5651}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A440F890-C254-415D-960B-4A3904C760BC}"
HKCR\Clsid\{A440F890-C254-415D-960B-4A3904C760BC}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B2905D5C-BE48-4721-BBAD-B006C15DACBF}"
HKCR\Clsid\{B2905D5C-BE48-4721-BBAD-B006C15DACBF}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6CBFED5E-48A5-4594-B44E-B8B1653C0AB4}"
HKCR\Clsid\{6CBFED5E-48A5-4594-B44E-B8B1653C0AB4}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{8DCE8C4A-C8AF-4E1C-AF40-46B4704F9833}"
HKCR\Clsid\{8DCE8C4A-C8AF-4E1C-AF40-46B4704F9833}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{91420189-2468-42E1-8660-1FBB3C0C9442}"
HKCR\Clsid\{91420189-2468-42E1-8660-1FBB3C0C9442}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{4FC30316-21EC-4620-8E32-DA1055CC0080}"
HKCR\Clsid\{4FC30316-21EC-4620-8E32-DA1055CC0080}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{DF86F677-E17A-4A9C-A47D-2BC4E599E363}"
HKCR\Clsid\{DF86F677-E17A-4A9C-A47D-2BC4E599E363}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3915E5A1-08B9-4E03-A299-DE0D9459F334}"
HKCR\Clsid\{3915E5A1-08B9-4E03-A299-DE0D9459F334}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{FFC08AF0-23EC-4DFF-BF7A-6B29A204D97B}"
HKCR\Clsid\{FFC08AF0-23EC-4DFF-BF7A-6B29A204D97B}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BC689AC1-05C5-48C0-8947-5A124CF6EB6C}"
HKCR\Clsid\{BC689AC1-05C5-48C0-8947-5A124CF6EB6C}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B4973FF4-3963-4F38-A519-2CBC5F954B74}"
HKCR\Clsid\{B4973FF4-3963-4F38-A519-2CBC5F954B74}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{785248B1-0C71-4D19-925A-B8E3B4605642}"
HKCR\Clsid\{785248B1-0C71-4D19-925A-B8E3B4605642}
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{67597378-4F1E-4BAC-A1BF-5AD44C6E4F62}"
HKCR\Clsid\{67597378-4F1E-4BAC-A1BF-5AD44C6E4F62}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administrateurs - Succeeded
Marsh Posté le 27-09-2006 à 21:33:04
Re
HijackThis est propre.
Relance un scan HijackThis et coche la ligne ci-dessous :
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - F:\Program Files\Deskbar\deskbar.dll (file missing)
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
Oui pour le SP2
http://update.microsoft.com
Je ne vois pas de pare feu sur ton rapport. Il en faut absolument un.
1 (et 1 seul) pare-feu bien paramétré, gratuit
par exemple ZoneAlarm
http://www.zonelabs.com/
et son tutorial
http://speedweb1.free.fr/frames2.php?page=tuto1
Marsh Posté le 28-09-2006 à 12:44:21
et bien c est parfait !
j ai téléchargé le pack, j ai enlevé la ligne et j'ai mis le par-feu. l'ordi est clean et ça fait rudement du bien !
maintenant que j ai de quoi travailler, je vais m attaquer à mon portable attaqué. ça a l'air plus coriace encore!
merci encore !
Sujets relatifs:
- [Outpost] Petit probleme pour ouvrir un port
- petit soucis au démarrage de windows
- petit spyware 2
- Petit problème "d'achitecture réseau"
- petit spyware ?
- petit probleme mise en reseau
- Qui peut me dire si jai un virus avec mon scan hijack merci
- Qui peut me dire si jai un virus avec mon scan de hijack
- une petite aide d'analyse Hijack pour une débutant svp
Marsh Posté le 27-09-2006 à 17:10:25
bonjour à tous !
je sais bien que c est re-loud à analyser ces hijack this, mais comment puis-je faire ? Mon Pc est infesté par un truc bien dégueu.
j ai lancé ad-aware, spybot et fait plusieurs scan avec antivir. tout ca en mode normal, en mse, en recommencant, etc.
j ai fait analyser un hijackthis automatiquement et j ai élimié six lignes qui suspects ou dangeureuse. l'une d'elle revient: 020 Winlogen notify, etc.
Je pense qu il doit falloire effacer un fichier manuellement, mais je ne suis pas assez calé pour savoir lequel. si quelqu'un peu m aider !
PS : pr ls symptomes, c'est des pops up, meme sous mozilla. j ai peur que ca dégénère.
merci bcp d'avance à toutes les bonnes volontés.
PS2 : hier, mon portable a presque rendu l'ame, mon PC a le DD qui a pété, et la l'ordi (le dernier!) de ma cops est vérolé ! La loi des séries !
PS3: comme j aime pas n etre qu un pseudo, voici l adresse de mon site. Il n y a rien de commercial. Mais si ca choque le moderateur, no problemo, je l enleve ! www.3600km.net
Encore merci!
Logfile of HijackThis v1.99.1
Scan saved at 16:52:49, on 27/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\Explorer.EXE
F:\Documents and Settings\Thècle\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - F:\Program Files\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] F:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] F:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] F:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O20 - Winlogon Notify: Extensions - F:\WINDOWS\system32\dn2601fse.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - F:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE