Aide pour fixer des logs sous hijackthisFermé

Question

Salut a tous, j'ai vu que dolly.dagger avait bien analysé le problème de son système avec le log file d'hijackthis et je me demandais si quelqu'un ne pouvait pas m'aider parce que:-lorsque je supprime un fichier, il ne passe plus par la corbeille-j'ai internet explorer qui s'ouvre tout seul et plein d'autres conneries dans le genre. Sa serait sympa  de me dire quels logs j'aurais a fixer et par la même occasion les logiciels que vous conseillez:-Firewall (j'ai zone alarm)-Anti virus (sans que sa ralentisse mon ordi)-Logiciels de spyware (je suis blindé mais j'attends vos suggestions)-Anti trojanMerci a tousLogfile of HijackThis v1.99.0Scan saved at 18:31:08, on 23/01/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Apps\ActivBoard
hksrv.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\system32\slserv.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Virtual CD v4 SDK\system\vcssecs.exeC:\WINDOWS\system32undll32.exeC:\WINDOWS\Explorer.EXEC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\WINDOWS\system32undll32.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Microsoft Office\Office10\WINWORD.EXEC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\DOUARD~1\LOCALS~1\Temp\Rar$EX05.125\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO1 - Hosts: 69.20.16.183 auto.search.msn.comO1 - Hosts: 69.20.16.183 search.netscape.comO1 - Hosts: 69.20.16.183 ieautosearchO1 - Hosts: 69.20.16.183 ieautosearchO4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exeO4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /minO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startupO4 - HKCU\..\Run: [Spyware-Cop] "C:\Program Files\Spyware-Cop\Spyware-Cop.exe" /sO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cabO16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cabO16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/2.0.0.33/player.virtools.com/downloads/player/Install2.0/Installer.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{12713D62-3E4A-409A-A372-1E80CA88486D}: NameServer = 80.10.246.1 80.10.246.132O17 - HKLM\System\CCS\Services\Tcpip\..\{538D5A0F-1A0A-4F86-BA3D-7B52D8867F69}: NameServer = 134.212.116.28O17 - HKLM\System\CS1\Services\Tcpip\..\{12713D62-3E4A-409A-A372-1E80CA88486D}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: Netropa NHK Server - Unknown - C:\Apps\ActivBoard
hksrv.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exeO23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Cédric_bordeaux · Answer

Bonjour à tous. J'ai le même problème qu'andré et je pense que vous avez la solution. Alors j'aimerais bien vous faire parvenir mes propres logs pour que vous m'aidiez à mon tour svp. J'ai déjà téléchargé tous les logiciels et je vais vous faire parvenir mes logs. Merci de me contacter par email si vous pouvez ou de répondre sur le sujet : Aide pour fixer des logs sous hijackthis Cédric afin de ne pas envahir le sujet d'andré ou bien de me contacter par email (coucoucedric@hotmail.com, j'ai msn) Ps quelques manips compliquées ne me feront pas peur,(j'ai quelques connaissances mais quand hijackthis ne suffit pas, je ne sais plus quoi faire) Log for VX2.BetterInternet File Finder (ALL) Files Found--- Additional Files--- Keys Under Notify--- BITS DateTime Guardian Key--- is called: Asynchronous 000 DllName Impersonate 000 Logon WinLogon Logoff WinLogoff Shutdown WinShutdown Guardian Key--- : User Agent String--- {51E5A726-CC69-481D-BD88-AF6024087B54} Logfile of HijackThis v1.99.0 Scan saved at 20:45:22, on 23/01/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Apps\ActivBoard
hksrv.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\DOCUME~1\Richard\LOCALS~1\Temp\Rar$EX00.282\HijackThis.exe C:\WINDOWS\System32\msiexec.exe C:\WINDOWS\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/2.0.0.33/player.virtools.com/downloads/player/Install2.0/Installer.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{12713D62-3E4A-409A-A372-1E80CA88486D}: NameServer = 80.10.246.1 80.10.246.132 O17 - HKLM\System\CCS\Services\Tcpip\..\{538D5A0F-1A0A-4F86-BA3D-7B52D8867F69}: NameServer = 134.212.116.28 O17 - HKLM\System\CS1\Services\Tcpip\..\{12713D62-3E4A-409A-A372-1E80CA88486D}: NameServer = 80.10.246.1 80.10.246.132 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Netropa NHK Server - Unknown - C:\Apps\ActivBoard
hksrv.exe O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe * DLLCompare Log version(1.0.0.127)Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM32\cgyptext.dll Sun 23 Jan 2005 18:47:06 ..S.R 222 556 217,34 K C:\WINDOWS\SYSTEM32\g4220e~1.dll Sun 23 Jan 2005 18:47:06 ..S.R 222 780 217,56 K C:\WINDOWS\SYSTEM32\gp02l3~1.dll Wed 19 Jan 2005 22:16:28 ..S.R 222 809 217,59 K C:\WINDOWS\SYSTEM32\jt4u07~1.dll Sun 16 Jan 2005 19:55:58 ..S.R 224 179 218,92 K C:\WINDOWS\SYSTEM32\jtr607~1.dll Sun 23 Jan 2005 16:22:50 ..S.R 222 556 217,34 K C:\WINDOWS\SYSTEM32\kodit.dll Wed 19 Jan 2005 14:04:50 ..S.R 224 432 219,17 K C:\WINDOWS\SYSTEM32\ktnul7~1.dll Sat 22 Jan 2005 10:41:16 ..S.R 223 462 218,22 K C:\WINDOWS\SYSTEM32\lvp009~1.dll Sun 16 Jan 2005 19:57:26 ..S.R 223 311 218,07 K C:\WINDOWS\SYSTEM32\qesname.dll Sat 22 Jan 2005 13:32:04 ..S.R 223 232 218,00 K C:\WINDOWS\SYSTEM3266u0g~1.dll Wed 19 Jan 2005 22:31:28 ..S.R 226 213 220,91 K ________________________________________________ 1 580 items found: 1 580 files (10 H/S), 0 directories. Total of file sizes: 342 198 914 bytes 326,34 M Administrator Account = Vrai --------------------End log--------------------- Merci d'avance les gars. Ps si vous m'aprenez techniquement comment les enlever, j'espère pouvoir prendre la relève pour aider d'autres personnes dans mon cas. Merci beaucoup.....[ Continuer la discussion ][ Répondre

S!Ri · Answer

Télécharge aussi:
http://www.downloads.subratam.org/KillBox.zip
Qui servira à supprimer les fichiers infectés.

Coupe ta connexion internet, execute KillBox,
Selectionne: Replace on Reboot
Coche: Use Dummy

Copie les lignes suivantes dans killbox (ligne après ligne) et clique sur le bouton avec l'icone rouge, croix blanche. (ne redemarre pas tant que ce n'est pas fini)

C:\WINDOWS\SYSTEM32\cgyptext.dll
C:\WINDOWS\SYSTEM32\g4220e~1.dll
C:\WINDOWS\SYSTEM32\gp02l3~1.dll
C:\WINDOWS\SYSTEM32\jt4u07~1.dll
C:\WINDOWS\SYSTEM32\jtr607~1.dll
C:\WINDOWS\SYSTEM32\kodit.dll
C:\WINDOWS\SYSTEM32\ktnul7~1.dll
C:\WINDOWS\SYSTEM32\lvp009~1.dll
C:\WINDOWS\SYSTEM32\qesname.dll
C:\WINDOWS\SYSTEM32\r66u0g~1.dll
C:\WINDOWS\SYSTEM32\Guard.tmp

Reboot et reposte un log DllCompare

Cédric · Answer

Ca y est, j'ai enlever tous ces dll avec killbox.exe et je vous fait parvenir le log de dll compare...

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\fpj803~1.dll Mon 24 Jan 2005 16:14:42 ..S.R 223 593 218,35 K
C:\WINDOWS\SYSTEM32\irj0l5~1.dll Mon 24 Jan 2005 15:05:56 ..S.R 223 795 218,55 K
C:\WINDOWS\SYSTEM32\o448le~1.dll Mon 24 Jan 2005 16:41:36 ..S.R 56 0,05 K
C:\WINDOWS\SYSTEM32\vkrifier.dll Mon 24 Jan 2005 16:14:42 ..S.R 222 780 217,56 K
________________________________________________

1 581 items found: 1 581 files (4 H/S), 0 directories.
Total of file sizes: 340 634 000 bytes 324,85 M

Administrator Account = Vrai

--------------------End log---------------------

Ensuite, j'ai compris la manip que tu m'avais faire, j'ai donc supprimé avec killbox.exe (de la même manière que tout à l'heure) les 4 adresses infectées et voici à nouveau le log de dllcompare.exe

Aucun fichier n'a été trouvé. (J'ai donc supprimé tous les mauvais dll avec dllcompare.exe)

J'ai remarqué aussi que firfox a un popup, qui m'envoie sur cette page suivante
http://www.accoona.com/?utm_id=2001&utm_source=ammam&utm_medium=ppc&utm_campaign=ammam1

Merci de ta péonse, j'attends la suite de tes instructions.

S!Ri · Answer

Salut,

Vérifie qu'il ne reste rien avec DllCompare. (chaque redémarrage modifie les fichiers infectés).

Ensuite:

Execute KillBox,
Copie les lignes suivantes dans killbox (ligne après ligne) et clique sur le bouton avec l'icone rouge, croix blanche.

C:\WINDOWS\SYSTEM32\guard.tmp <-- Il est peut être revenu
C:\RECYCLER\Desktop.ini

Reposte un log de VX2Finder(126):
Lance le soft, clique sur [Click to Find VX2.aBetterInternet],
Puis sur le bouton [Make Log],
Poste ici le contenu du Rapport.

Poste aussi le contenu de la clef de registre suivante:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Menu Démarrer, executer,
entre Regedit
Cheche la clef,
Exporte là sur ton bureau. Click droit dessus, edit et colle le contenu à la suite.

Cédric · Answer

Re ya toujours rien avec dllcompare.exeJ'ai toujours la corbeille qui déconne.J'ai fait un log hijackthis je l'ai fait analysé sur le site officiel j'ai supprimé d'autres trucs voici le rapportLogfile of HijackThis v1.99.0Scan saved at 18:55:23, on 24/01/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Apps\ActivBoard
hksrv.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Virtual CD v4 SDK\system\vcssecs.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\WINDOWS\explorer.exeC:\Documents and Settings\All Users\Menu Démarrer\Programmes\Outils Sécurité\HijackThis.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exeO4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /minO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htmO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{12713D62-3E4A-409A-A372-1E80CA88486D}: NameServer = 80.10.246.1 80.10.246.132O17 - HKLM\System\CS1\Services\Tcpip\..\{12713D62-3E4A-409A-A372-1E80CA88486D}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: Netropa NHK Server - Unknown - C:\Apps\ActivBoard
hksrv.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exeO23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exeWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]"Asynchronous"=dword:00000000"DllName"="""Impersonate"=dword:00000000"Logon"="WinLogon""Logoff"="WinLogoff""Shutdown"="WinShutdown"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DateTime]"Asynchronous"=dword:00000000"DllName"="C:\WINDOWS\system32\ktnul7591.dll""Impersonate"=dword:00000000"Logon"="WinLogon""Logoff"="WinLogoff""Shutdown"="WinShutdown"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\policies]"Asynchronous"=dword:00000000"DllName"="C:\WINDOWS\system32\o448lehu1h48.dll""Impersonate"=dword:00000000"Logon"="WinLogon""Logoff"="WinLogoff""Shutdown"="WinShutdown"scan avec vx2 finderLog for VX2.BetterInternet File Finder (ALL)Files Found--- Additional Files--- Keys Under Notify---DateTimepoliciesGuardian Key--- is called: Asynchronous 000DllName Impersonate 000Logon WinLogonLogoff WinLogoffShutdown WinShutdownGuardian Key--- : User Agent String---{51E5A726-CC69-481D-BD88-AF6024087B54} Voila je reste connecté dans la soirée merci.

balltrap34 · Answer

salut
ouvre le bloc note et copie colle ceci
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DateTime]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\policies]

enregistre le sur ton bureau avec l extention .reg

retrouve la sur le bureau et clik dessus

la lance la killbox et met ceci
C:\\WINDOWS\\system32\\o448lehu1h48.dll
C:\\WINDOWS\\system32\\ktnul7591.dll
si cela ne les suppr pas met juste ceci
o448lehu1h48.dll
ktnul7591.dll

la tu clik sur demarrer /executer et tu tape regedit
la tu clik sur edition et rechercheet tu met ceci

{51E5A726-CC69-481D-BD88-AF6024087B54}
et tu suppr avant de la suppr tu l exporte on c est jamais

tu lance vx2 tu clik sur restore policy
sur user agent et guardian reg

et la tu redemarre

la chasse et le balltrap ma vrai passion
voir site perso dans profil

S!Ri · Answer

Lance le bloc note et colle ca dedans:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DateTime]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\policies]

Sauvegarde sur le bureau avec le nom UnReg.reg par exemple.
Double clique dessus.

Pour ta corbeille,execute KillBox,
Copie la ligne suivante dans killbox et clique sur le bouton avec l'icone rouge, croix blanche.

C:\RECYCLER\Desktop.ini

Relance VX2Finder et clique sur les boutons [Click to Find VX2.aBetterInternet], [Restore Policy], [UserAgent$]
Ca corrige encore quelques clefs du registre.

S!Ri · Answer

Salut BallTrap,

T'as été plus rapide que moi sur le coup là... ;-)

J'ai regardé pour lop sur des scan en lignes.
www.ravantivirus.com et trend ne trouvent rien

Par contre AVG, F-Prot, Kaspersky y voient un trojan.
Quelques forum parlent de cette infection.
Ca enlève la barre d'internet Explorer, mais ca contient un trojan...

Comment va ton chien ?

Cédric_33 · Answer

bon j'ai fait un peu de ce que vous m'avez dit et sa m'a corrigé le problème de la corbeille. Bon ben je crois qu e tout est résolu.
Pour finir, je voulais vous remercier tous les deux parce que vous êtes des gros pros!!!
Sinon comment faire pour ne pas se rechope des merdes comme sa?
Et question un peu à part,
- comment faire pour surveiller ses ports (pour ne pas se faire attaquer)
- quels logiciels choisir dans le domaine antivirus, firewall qui ralentissent pas trop l'ordi

merci ++

S!Ri · Answer

Content d'avoir pu t'aider.Tout est là: http://sebsauvage.net/safehex.html

maxime · Answer

Bonjour à tous

depuis lundi je suis également victime du même pb:
internet ki s'ouvre tout seul, les fichiers mis a la corbeille sont effacés imméditement.... je ne peux plus activer les fonctions "autoprotects et analyse des mails " de norton, ma barre google antipopup a ete effacée... et quand je veux eteindre l'ordi (portable presario sous xp1)... l'ecran et le DD s'arrete mais l'ordi continue de rester sous alim et de faire tourner le ventilo...

norton comme adaware ont detecté des virus et spyware des les fichiers dll et le fichier guard.tmp impossible a deleter !

g lu les conseils que vous avez donné à André et Cédric: malheureusement je suis loin d'etre un pro de l'info et bcp d'info est resté hermétique" à mon nieau....

quelqu'un aurait il l'amabilité d'expliquer pour le nul que je suis les étapes a effectuer pour me débarasser de ces pbs?
sinon, la derniere solution ultime ki me reste serait un reformatage et restoration du systeme.... ce ki me rejouit pas d'avance vu ce ke g deja d'installé sur le pc...

merci d'avance

cédric · Answer

Essaie de suivre les instructions qu'ils m'on données. Mais sinon pour effacer ton dll utilise killbox.exevoila ++

céédric · Answer

.

Aide pour fixer des logs sous hijackthis

13 réponses

Discussions similaires

Newsletters