Virus + HijackThis

Salut,

Pour copier le log Hijackthis, il te faut trouver dans la fenetre de résultat un bouton qui te permettra d'enregistrer le log au format texte. Tu pourras alors le copier plus facilement.

Ensuite, je ferais de mon pour t'aider !

a+.

salut
pour hj
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Merci Angel, bon elle a répondu ceci :

Logfile of HijackThis v1.98.0
Scan saved at 17:37:27, on 09/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Vexira Antivirus\VAGUARD.EXE
C:\Program Files\Vexira Antivirus\VAWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\vanina\Mes documents\Msn\MsgPlus.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Apps\ActivBoard\TrayMon.exe
C:\WINDOWS\System32\windowsu.exe
C:\WINDOWS\System32\exploirez.exe
C:\WINDOWS\System32\IEXPLORE.EXE
C:\Program Files\Vexira Antivirus\VAGNT.EXE
C:\Apps\ActivBoard\OSD.exe
C:\WINDOWS\System32\pugo.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\Documents and Settings\vanina\Mes documents\Mes fichiers reçus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://awebfind.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6C883357-ED64-5391-DB54-635509A72749} - C:\WINDOWS\System32\uwu.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Surfairy - {BB9AAAF3-4F8D-48B5-A565-FF3E58433DC2} - C:\Program Files\Surfairy\SurfairyHlp.dll (file missing)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [848171A5] C:\DOCUME~1\vanina\LOCALS~1\Temp\~C828.tmp.exe
O4 - HKLM\..\Run: [waojjkpn] C:\WINDOWS\System32\pkraia.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\vanina\Mes documents\Msn\MsgPlus.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Update Machine] windowsu.exe
O4 - HKLM\..\Run: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [VAWUpd32] "C:\Program Files\Vexira Antivirus\VAWUPD32.EXE" /min
O4 - HKLM\..\Run: [VAGCtrl] C:\Program Files\Vexira Antivirus\VAGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update Machine] windowsu.exe
O4 - HKLM\..\RunServices: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Microsofts Updatez] exploirez.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] windowsu.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [Mxt] C:\WINDOWS\System32\pugo.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.37.7:80/iex/ofile.exe?url=http://66.117.37.7:80/dexNL4.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/294edb3ae3eec6a56006/netzip/RdxIE601_fr.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.goa.com/components/Metaboli.ocx
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E96B064F-F50A-44DF-B5B9-FF5BCC0DE83A}: NameServer = 213.36.80.1 213.36.80.1

Donc voilà, sachant qu'elle avait norton antivirus que je lui ai fait virer et remplacer par Vexira qui lui a détecté plus de virus que Norton et qu'elle à Outpost Pro comme firewall, bon amusement et merci ^^

I Would Make The World Better But Murder Is Illegal

Salut,

Ouh là ! :)

Pour commencer, passe SpyBot S&D et AdAware :
http://www.commentcamarche.net/faq/sujet-322

Essaie aussi CWShredder :
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
http://209.133.47.19/~merijn/files/CWShredder.exe
http://www.spywareinfo.com/downloads/tools/CWShredder.exe
http://www.lurkhere.com/~nicefiles/
http://www.zerosrealm.com/downloads/CWShredder.zip

Exécute-le (absolument) toutes fenêtres fermées et hors connexion puis commence par faire une mise à jour en cliquant sur le bouton "Check for update"; clique ensuite sur fix - next - next.

Dans la foulée, passe un scan anti-virus "en ligne" :
- http://housecall.antivirus.com/ ou http://www.secuser.com/antivirus/
- http://www.pandasoftware.com/activescan/activescan.asp?
- http://www.dialognauka.ru/english/www_av/home.htm
- http://fr.bitdefender.com/scan/licence.php
- http://www.ravantivirus.com/scan/ > "To continue without subscribing click here"

Enfin, refais un scan avec HiJackThis et colle le log, on devrait y voir un peu plus clair :)

Bon courage et a+

salut!
houlà! bis

O4 - HKLM\..\RunServices: [Microsofts Updatez] exploirez.exe <--celui-là est particulièrement savoureux... rhooo!

O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE <--pas mieux

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup <--idem..

O4 - HKLM\..\Run: [waojjkpn] C:\WINDOWS\System32\pkraia.exe <--idem

et autre réjouissances....
j'ai pas osé tout regarder - Allège tout ça - fait comme te dit SirHill
[] <--ch'uis cachée :-]]]


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Oki merci, je dirais à la personne de le faire, je suppose que MAJ de CWS c'est en connexion puis scan en hors connexion ^^
Merci dolly.dagger et Sirhill, je vous donnerais les news ^^

I Would Make The World Better But Murder Is Illegal

Voilà, elle à scanné après Spybot et CWS, le log Hijack donne :

Logfile of HijackThis v1.98.0
Scan saved at 16:21:27, on 10/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Vexira Antivirus\VAWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\vanina\Mes documents\Msn\MsgPlus.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\windowsu.exe
C:\WINDOWS\System32\exploirez.exe
C:\Program Files\Vexira Antivirus\VAGNT.EXE
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\WINDOWS\System32\pugo.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Vexira Antivirus\VAGUARD.EXE
C:\WINDOWS\System32\IEXPLORE.EXE
C:\WINDOWS\System32\svchostc.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\Documents and Settings\vanina\Mes documents\Mes fichiers reçus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {6C883357-ED64-5391-DB54-635509A72749} - C:\WINDOWS\System32\uwu.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [848171A5] C:\DOCUME~1\vanina\LOCALS~1\Temp\~C828.tmp.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\vanina\Mes documents\Msn\MsgPlus.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Update Machine] windowsu.exe
O4 - HKLM\..\Run: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [VAWUpd32] "C:\Program Files\Vexira Antivirus\VAWUPD32.EXE" /min
O4 - HKLM\..\Run: [Microsoft WinUpdate] svchosts.exe
O4 - HKLM\..\Run: [VAGCtrl] C:\Program Files\Vexira Antivirus\VAGNT.EXE /min
O4 - HKLM\..\Run: [WindowsRegKey update] svchostc.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] windowsu.exe
O4 - HKLM\..\RunServices: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] svchosts.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] svchostc.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Microsoft Update Machine] windowsu.exe
O4 - HKCU\..\Run: [Mxt] C:\WINDOWS\System32\pugo.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] svchosts.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [WindowsRegKey update] svchostc.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/294edb3ae3eec6a56006/netzip/RdxIE601_fr.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.goa.com/components/Metaboli.ocx
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E96B064F-F50A-44DF-B5B9-FF5BCC0DE83A}: NameServer = 213.36.80.1 213.36.80.1

Elle à eut deux messages avec Spybot :

L'application ou la DLL C:/WINDOWS/wt/webdriver.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation.

Cette application n'a pas pu démarrer car WDENGINE.dll est introuvable. La réinstallation de cette application peut corriger ce problème.

Voilà, un peu plus net j'espère, elle arrive à surfer maintenant, mais toujours pas aller dans sa boite hotmail

J'attend la suite ^^

I Would Make The World Better But Murder Is Illegal

hello,
je regarde le log - je te dis la suite dans qq....euh! grosses minutes :-}}}

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Oki lol, j'ai vu qu'une ligne supprimée est revenue :
O4 - HKLM\..\RunServices: [Microsofts Updatez] exploirez.exe

Lui ai dis de rebooter, passer spybot, ad aware, CWS, antivirus, puis hijack mais elle est tjs pas revenue ^^

I Would Make The World Better But Murder Is Illegal

ayé!
:-) fix-it :


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://awebfind.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm

(127.0.0.1 awebfind.biz <--c'est le trojan Troj/StartPa-BE tssss!!
http://www.sophos.fr/virusinfo/analyses/trojstartpabe.html

O2 - BHO: (no name) - {6C883357-ED64-5391-DB54-635509A72749} - C:\WINDOWS\System32\uwu.dll (file missing) <--ça correspond à rien! ce truc???? ché pas
C:\WINDOWS\System32\windowsu.exe
C:\WINDOWS\System32\exploirez.exe <--mdrr! (pkoi pas explotarezzz tant qu'ils y sont...)
C:\WINDOWS\System32\pugo.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

C:\WINDOWS\System32\IEXPLORE.EXE <-- très douteux à vérifier pour moi c'est pas bon - plusieurs virus utilise cet forumulation majuscule voir ici par exemple (recherche sur Google aussi)
http://www.sophos.fr/virusinfo/analyses/w32lovgatead.html

Afin de s’exécuter automatiquement au démarrage de Windows, le ver crée les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Program In Windows
=C:\WINDOWS\System32\IEXPLORE.EXE

O4 - HKLM\..\Run: [848171A5] C:\DOCUME~1\vanina\LOCALS~1\Temp\~C828.tmp.exe

O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain <-- ça il faut encore vérifier c'est en rapport avec 1 des 2 rundll.exe (ligne C) dont l'un comme ici est en majuscule et la ligne bien trop longue...??? pour le moment laisse-le

O4 - HKLM\..\Run: [Microsoft Update Machine] windowsu.exe

O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe

O4 - HKLM\..\Run: [Microsoft WinUpdate] svchosts.exe
O4 - HKLM\..\Run: [WindowsRegKey update] svchostc.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] windowsu.exe
O4 - HKLM\..\RunServices: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] svchosts.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] svchostc.exe
4 - HKCU\..\Run: [Microsoft Update Machine] windowsu.exe
O4 - HKCU\..\Run: [Mxt] C:\WINDOWS\System32\pugo.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] svchosts.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [WindowsRegKey update] svchostc.exe

016 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
(pour moi smiley central c'st....caca - chacun ses goûts)

016 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/294edb3ae3eec6a56006/netzip/RdxIE601_fr.cab

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.goa.com/components/Metaboli.ocx
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab <-très mauvais ça!! rhooooo!!!
voir ici ce qu'on en dit (pour l'honneur...)
http://assiste.free.fr/p/internet_attaquants/media_tickets.php

Pour le message Spybot :

L'application ou la DLL C:/WINDOWS/wt/webdriver.dll n'est pas une image Windows valide. <--on est bien d'accord c'est une m***e! encore sûrement....
Essaye de vacciner et d'appliquer vacciner+"vacciner ttes les pages silencieusement" <--un truc du genre

Essaye de fixer tout ça - I-E fermé! en mode sans échec serait mieux
Pour les lignes 04, ils faut avant de cocher les lignes arrêter les processus en faisant CTRL+ALT+SUPP = ensuite on peut fixer les lignes.

Mais quel merdier! ce log. félicitations à ta copine :-}}}}}}
Et on parle mm pas du nombre de programmes inutiles (04) qu'elle se trimballe au démarrage de son pc......

@+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

oulà, en effet, voilà un ordi TRES hijacké...

O2 - BHO: (no name) - {6C883357-ED64-5391-DB54-635509A72749} - C:\WINDOWS\System32\uwu.dll (file missing)
-> ça je confirme,à virer oui !!! Il me semble que c'est une extension qui permet de faire revenir le problème même quand on le vire...

@+

Woki merci les gars, je lui dirais
Moi ça va j'ai aucun prob lol

Merci encore ^^
Au fait, vous analysez chaque lignes et vous cherchez sur google la signification pour toutes les lignes ou vous avez un répertoire?

I Would Make The World Better But Murder Is Illegal

:-[] *Woki merci les gars, je lui dirais*

hey! oh! moi je suis une fille ;-)))

ben!.. en fait on des bêtes en informatique....(non! je déconne) - 1) l'habitude - 2) oui! parfois on fait BEAUCOUP de recherche sur les moteurs de recherche 3) euh!.... y'a pas de 3

bonne chance pour l'aider elle va en avoir besoin ;-)


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Salut,

Fixe aussi ceci :

O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)

O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

Comment on se sert de Hijack This j'ai fais Scan et il m'est apparu des tas de trucs... Il faut que je fasse quoi la ??

Merci pour vos futures réponses !

Re,

Au fait, vous analysez chaque lignes et vous cherchez sur google la signification pour toutes les lignes ou vous avez un répertoire?

Quand je me suis lancé dans l'analyse de logs, j'ai pris connaissance de cette page :
http://assiste.free.fr/p/frameset/07_hijackthis.php

Sinon :
- l'habitude
- la TonyK's BHO & Toolbar List : http://www.sysinfo.org/bholist.php
- la PacMan's Startup List : http://www.sysinfo.org/startuplist.php
- Google :-)

Au passage, tu diras à ta copine de se protéger (comme pour le sesque, hein) et de lire ceci :
http://sebsauvage.net/safehex.html

A+

hello :-)) SirHill et tout le monde,
oui pour backweb, je sais pas si elle va le trouver "vraiment" ça a dû lui être offert avec un "gentil logiciel" quelcon-que...
ah! oui j'avais oublié la 02/noname/nofiles
faut dire que ce log donne le tournis

@++ :-}}

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Vouiche :-)
http://www.commentcamarche.net/processus/backweb-exe.php3

En tout cas bravo pour cette analyse :-))
Ce log me donne aussi le tournis.

Bonne nuit tout le monde ! :-)

Bon mon amie à récupèré son surf, déjà ça, il lui reste des trucs à virer
Elle m'a posé une question pas si conne que celà, en fait, on a parlé de ctrl+alt+del et terminer le processus pour supprimer une ligne de hijack (explorez), mais quel processus est ce?
Celui de IEXPLOR ?

Au fait, merci à toi DOLLY DAGGER, je remercie personnelement car oui j'ai dis "merci les gars" ;)
Comme ça tu te sentiras pas délaissée :)

En principe j'ai son log "nettoyé" demain ^^

I Would Make The World Better But Murder Is Illegal

Re ;-))

oui tous les processus qui se trouvent à droite des lignes 04
O4 - HKLM\..\Run: [Microsoft WinUpdate] svchosts.exe <--là!

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*