Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

[hijackthis] demande d'aide hijackthi.log

Dernière réponse le 13 mai 2005 à 16:24:51 fcduo, le 12 mai 2005 à 11:30:38

Signaler ce message aux modérateurs

Bonjour,
Merci par avance de me conseiler sur la manip à propos du hijackthis.log ci-dessous. J'ai testé CWShredder et Ad-Aware, sans succès, j'ai Microsoft Antispyware Beta 1 qui me bloque l'installation de about blank en page de défaut Internet, mais le virus est toujours là!
Je suis bien allé au fin fond des registres Windows, mais là, j'hésite à aller plus loin ! Encore merci de votre aide.
Logfile of HijackThis v1.99.1
Scan saved at 10:52:19, on 12/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NavNT\DefWatch.exe
C:\WINDOWS\System32\NALNTSRV.EXE
C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
C:\PROGRA~1\NavNT\rtvscan.exe
C:\WINDOWS\System32\wm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ntxd.exe
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINDOWS\System32\ltmsg.exe
C:\WINDOWS\System32\BESCH.EXE
C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\appgf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CommonTime\Cadenza\CdzSvc.exe
C:\Program Files\CommonTime\Cadenza\cadenza.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\documents and Settings\ebax178\My Documents\PERSO\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wnorl.dll/sp.html#14044
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {9B442A67-4BF8-9AC9-9912-E5D9A99FE86D} - C:\WINDOWS\system32\winpl32.dll
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [BackupExecScheduler] BESCH.EXE
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [Verif Symantec NAV8] "C:\Program Files\Schneider integration\VerifNAV.vbs"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [appgf.exe] C:\WINDOWS\system32\appgf.exe
O4 - HKLM\..\RunOnce: [ntxd.exe] C:\WINDOWS\ntxd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Cadenza] C:\Program Files\CommonTime\Cadenza\CdzSvc.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: winupdate21638985[1].exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C470E718-6117-11D7-A1AC-0002A5269C35} (CreditClient.ControlInactif) - file://D:\DOCUME~1\ebax178\LOCALS~1\Temp\CreditClient.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Compagnon) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com
O17 - HKLM\Software\..\Telephony: DomainName = fr.schneider-electric.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 139.160.77.13 139.160.111.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 139.160.77.13 139.160.111.43
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crks.exe" /s (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\NavNT\DefWatch.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINDOWS\System32\NALNTSRV.EXE
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NavNT\rtvscan.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\BIN\ONRSD.EXE
O23 - Service: ReplService - Unknown owner - C:\Program Files\Trilogy\ReplService\repl.exe
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINDOWS\System32\wm.exe

Meilleures réponses pour « [hijackthis] demande d'aide hijackthi.log » dans :

[hijackthis] vérification log (Résolu) Voir

[hijackthis] evaluation log (Résolu) Voir

Infection par Win32:PurityScan-Q [Trj] (Résolu) Voir

Analyser, interpréter un log HijackThis et agir en conséquence Voir

Trojan Elitebar (Résolu) Voir

Hijackthis mon log (aidez moi) (Résolu) Voir

Lecture d'un log Hijackthis Voir

Télécharger Hijackthis VoirHijackthis est un logiciel qui aide à la désinfection, cependant, il est à ne pas mettre entre toutes les mains. C'est un outil spécifique permettant de détecter et de supprimer les spywares et hijackers installés furtivement sur votre ordinateur....

Posez votre question Répondre

petit-pere, le 12 mai 2005 à 12:47:38

Bonjour ......

c koi le pb?
un rapide coup d'oeil au log ne renseigne aucun pb .........

Répondre à petit-pere

fcduo, le 12 mai 2005 à 13:30:11

Ben, je vois au moins cette ligne
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
Peut être d'autres, j'y connais pas assez...

Répondre à fcduo

petit-pere, le 12 mai 2005 à 13:36:20

..... cette ligne fait que la page de démarrage de IE est about:blank, càd rien ... aucune page n'est chargée par défaut au démarrage d'IE .........................

Répondre à petit-pere

fcduo, le 12 mai 2005 à 13:40:58

C'est ce qu'on pourrait croire!
J'arrive sur des sites à la c.., tant de viagra, porno, vente d'anti virus, etc...(pop up "only the best").D'ailleurs Microsoft Antispyware me le trouve, l'élimine, mais il revient au boot...

Répondre à fcduo

fcduo, le 12 mai 2005 à 14:51:42

En complément,en bas de page IE il y a Quick Web Search....

Répondre à fcduo

fcduo, le 13 mai 2005 à 09:55:29

Salut les caîds de l'info !
J'ai chargé CWShredder, Spybotsd, Spywareblaster (en suivant "la manip" de l'excellent site Assiste.com), viré le bandeau Yahoo.
Spybotsd me félicite de ne plus avoir de mouchard, mais j'ai tjrs ma page par défaut de IE qui est "about:blank" avec Quick Web Search (impossible de remettre une autre page par défaut, celle-ci revient).
Je joins mon nouveau hijachthis.log.
Y a t il somebody to help me ?
Merci encore !

Logfile of HijackThis v1.99.1
Scan saved at 09:40:33, on 13/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NavNT\DefWatch.exe
C:\WINDOWS\System32\NALNTSRV.EXE
C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
C:\PROGRA~1\NavNT\rtvscan.exe
C:\WINDOWS\System32\wm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mfcrg.exe
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINDOWS\System32\ltmsg.exe
C:\WINDOWS\System32\BESCH.EXE
C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\mfcnn.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CommonTime\Cadenza\CdzSvc.exe
C:\Program Files\CommonTime\Cadenza\cadenza.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\AT&T Global Network Client\NetClient.exe
D:\documents and Settings\ebax178\My Documents\PERSO\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\geyby.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\geyby.dll/sp.html#14044
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\geyby.dll/sp.html#14044
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pic.fr.schneider-electric.com:1959/data/proxy.pac
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {9B442A67-4BF8-9AC9-9912-E5D9A99FE86D} - C:\WINDOWS\system32\winpl32.dll
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [BackupExecScheduler] BESCH.EXE
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [Verif Symantec NAV8] "C:\Program Files\Schneider integration\VerifNAV.vbs"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [mfcnn.exe] C:\WINDOWS\system32\mfcnn.exe
O4 - HKLM\..\RunOnce: [mfcrg.exe] C:\WINDOWS\system32\mfcrg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Cadenza] C:\Program Files\CommonTime\Cadenza\CdzSvc.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [NetSP - restore database] "C:\Program Files\AT&T Global Network Client\NetSP.exe" -show
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: winupdate21638985[1].exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C470E718-6117-11D7-A1AC-0002A5269C35} (CreditClient.ControlInactif) - file://D:\DOCUME~1\ebax178\LOCALS~1\Temp\CreditClient.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com
O17 - HKLM\Software\..\Telephony: DomainName = fr.schneider-electric.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{116C0743-BFC3-48ED-B11A-19E8AC390D3B}: Domain = fr.schneider-electric.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{116C0743-BFC3-48ED-B11A-19E8AC390D3B}: NameServer = 139.160.77.13,10.195.20.30
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fr.schneider-electric.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 139.160.77.13 139.160.111.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fr.schneider-electric.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 139.160.77.13 139.160.111.43
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crks.exe" /s (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\NavNT\DefWatch.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINDOWS\System32\NALNTSRV.EXE
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NavNT\rtvscan.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\BIN\ONRSD.EXE
O23 - Service: ReplService - Unknown owner - C:\Program Files\Trilogy\ReplService\repl.exe
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINDOWS\System32\wm.exe

Répondre à fcduo

Furtif, le 13 mai 2005 à 10:01:45

Bonjour

Ne pas oublier de désactiver la restauration automatique quand on fait du nettoyage, sinon, ça revient ... On finira bien par les avoir .. @+ / Furtif

Répondre à Furtif

fcduo, le 13 mai 2005 à 10:05:30

Merci, mais ça c'était déjà fait !
Par contre, j'ai entendu parlé de "démarrage sans échec". C'est quoi?

Répondre à fcduo

fcduo, le 13 mai 2005 à 16:24:51

Ok pour le démarrage sans échec.
J'ai suivi la manip de kea dans le forum sur le pb de démarrage (358 échanges!).
Effectivement, plus de about blank, mais un autre pb.
J'ouvre une autre question...
T'chao.

Répondre à fcduo

Posez votre question Répondre