Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

analyse rapport hijackthis récalcitrant

mili

Par mili
dans Analyses et éradication malwares

 Partager

Messages recommandés

mili Member

mili

Posté(e)
Posté(e)

Bonsoir,

Après moultes tentatives je m'en remets à vous...

Quand j'enlève des indésirables avec hijack ils reviennent à chaque fois...

Je ne sais plus quoi faire. :P

Mon antiv... est deconnecté, des que je tape ce mot dans firefox ma fenètre est gentiment fermée...

je ne peux donc pas télécharger d'antiv..

J'ai Avast, ccleaner, spybot... mais ils ne peuvent plus se mettre à jour ni effacer...

ah... voilà mon rapport... en vous remerciant par avance messieurs dames

 

Logfile of HijackThis v1.99.1

Scan saved at 19:57:00, on 14/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\mguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Emilie\Bureau\MSN Messenger\msnmsgr.exe

C:\Program Files\CCleaner\ccleaner.exe

C:\Documents and Settings\Emilie\Bureau\scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

F2 - REG:system.ini: Shell=Explorer.exe mguard.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,mguard.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {4E8104AC-AA94-40B1-96D8-BA05067BF085} - C:\WINDOWS\system32\awtqnkh.dll

O2 - BHO: (no name) - {6A79B30E-4F1F-4FA5-BA80-07EBF5368049} - C:\WINDOWS\System32\vtsqo.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Picasa Media Detector] "C:\Program Files\Picasa2\PicasaMediaDetector.exe"

O4 - HKLM\..\Run: [LogitechVideo[inspector]] "C:\Program Files\Logitech\Video\InstallHelper.exe" /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] "C:\WINDOWS\System32\ElkCtrl.exe" /automation

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKCU\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Documents and Settings\Emilie\Bureau\MSN Messenger\msnmsgr.exe" /background

O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll

O20 - Winlogon Notify: vtsqo - C:\WINDOWS\System32\vtsqo.dll

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Extended Windows Security (Microsoft Extended Windows Security) - Unknown owner - C:\WINDOWS\elRecvr.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Print Spooler Service (nelha311bd8qe) - Unknown owner - C:\z.exe

O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lien vers le commentaire
Partager sur d’autres sites

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e)

bonjour mili et bienvenue sur zebulon :P

 

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Lien vers le commentaire
Partager sur d’autres sites
mili Member

mili

Posté(e)
  • Auteur
Posté(e)

Voici le nouveau rapport hidjackthis après avoir effectué VundoFIX...

Je n'ai pas pu redémarrer autrement qu'en mode sans echec grrr

 

Logfile of HijackThis v1.99.1

Scan saved at 21:03:43, on 14/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\mguard.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\mguard.exe

C:\Documents and Settings\Emilie\Bureau\scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

F2 - REG:system.ini: Shell=Explorer.exe mguard.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,mguard.exe

O2 - BHO: (no name) - {4E8104AC-AA94-40B1-96D8-BA05067BF085} - C:\WINDOWS\system32\awtqnkh.dll

O2 - BHO: (no name) - {B3B1324D-6AAF-471F-B6A9-EA710E94900B} - C:\WINDOWS\System32\vtsqo.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Picasa Media Detector] "C:\Program Files\Picasa2\PicasaMediaDetector.exe"

O4 - HKLM\..\Run: [LogitechVideo[inspector]] "C:\Program Files\Logitech\Video\InstallHelper.exe" /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] "C:\WINDOWS\System32\ElkCtrl.exe" /automation

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKLM\..\Run: [z] C:\z.exe

O4 - HKLM\..\RunServices: [z] C:\z.exe

O4 - HKCU\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Documents and Settings\Emilie\Bureau\MSN Messenger\msnmsgr.exe" /background

O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Extended Windows Security (Microsoft Extended Windows Security) - Unknown owner - C:\WINDOWS\elRecvr.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Print Spooler Service (nelha311bd8qe) - Unknown owner - C:\z.exe

O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lien vers le commentaire
Partager sur d’autres sites
mili Member

mili

Posté(e)
  • Auteur
Posté(e)

rere,

Vundo trouve 3 lignes dans sa fenètre: C://WINDOWS/mllj.dll et C://WINDOWS/jmllm.ini et C://WINDOWS/jmllm.bak 1

(je recopie...)

et hidjackthis ça donne:

 

Logfile of HijackThis v1.99.1

Scan saved at 21:34:41, on 14/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\mguard.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Emilie\Bureau\VundoFix.exe

C:\Documents and Settings\Emilie\Bureau\scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

F2 - REG:system.ini: Shell=Explorer.exe mguard.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,mguard.exe

O2 - BHO: (no name) - {0FD341EC-1A8B-45A8-8C65-ED6A479D4656} - C:\WINDOWS\System32\mllmj.dll

O2 - BHO: (no name) - {B3B1324D-6AAF-471F-B6A9-EA710E94900B} - C:\WINDOWS\System32\vtsqo.dll (file missing)

O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\cbmqfsne.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Picasa Media Detector] "C:\Program Files\Picasa2\PicasaMediaDetector.exe"

O4 - HKLM\..\Run: [LogitechVideo[inspector]] "C:\Program Files\Logitech\Video\InstallHelper.exe" /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] "C:\WINDOWS\System32\ElkCtrl.exe" /automation

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKLM\..\Run: [z] C:\z.exe

O4 - HKLM\..\RunServices: [z] C:\z.exe

O4 - HKCU\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Documents and Settings\Emilie\Bureau\MSN Messenger\msnmsgr.exe" /background

O20 - Winlogon Notify: mllmj - C:\WINDOWS\System32\mllmj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Extended Windows Security (Microsoft Extended Windows Security) - Unknown owner - C:\WINDOWS\elRecvr.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Print Spooler Service (nelha311bd8qe) - Unknown owner - C:\z.exe

O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lien vers le commentaire
Partager sur d’autres sites
mili Member

mili

Posté(e)
  • Auteur
Posté(e)

rerere!!

Merci beaucoup pour ces conseils, j'avoue que je ne comprends pas très bien pourquoi il faut exécuter plusieurs fois le même programme mais je suis loin d'être une spécialiste!

Je vais pas faire perdre trop de temps à demander en plus des esplications!

Enfin...j'obéis! Voilà qui est fait:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:22:06, on 14/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\userinit.exe

C:\WINDOWS\System32\mguard.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\mguard.exe

C:\Documents and Settings\Emilie\Bureau\scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

F2 - REG:system.ini: Shell=Explorer.exe mguard.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,mguard.exe

O2 - BHO: (no name) - {1B283D5E-D05B-450D-AAB5-515F57102268} - C:\WINDOWS\System32\mllmj.dll (file missing)

O2 - BHO: (no name) - {4E8104AC-AA94-40B1-96D8-BA05067BF085} - C:\WINDOWS\System32\qommmkl.dll

O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\System32\ipv6monl.dll

O2 - BHO: (no name) - {B3B1324D-6AAF-471F-B6A9-EA710E94900B} - C:\WINDOWS\System32\vtsqo.dll (file missing)

O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\cbmqfsne.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Picasa Media Detector] "C:\Program Files\Picasa2\PicasaMediaDetector.exe"

O4 - HKLM\..\Run: [LogitechVideo[inspector]] "C:\Program Files\Logitech\Video\InstallHelper.exe" /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] "C:\WINDOWS\System32\ElkCtrl.exe" /automation

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKLM\..\Run: [z] C:\z.exe

O4 - HKLM\..\RunServices: [z] C:\z.exe

O4 - HKCU\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Documents and Settings\Emilie\Bureau\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\System32\136266142171.exe

O20 - Winlogon Notify: qommmkl - C:\WINDOWS\SYSTEM32\qommmkl.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Extended Windows Security (Microsoft Extended Windows Security) - Unknown owner - C:\WINDOWS\elRecvr.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Print Spooler Service (nelha311bd8qe) - Unknown owner - C:\z.exe

O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lien vers le commentaire
Partager sur d’autres sites
bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e)

bonjour mili,

 

j'avoue que je ne comprends pas très bien pourquoi il faut exécuter plusieurs fois le même programme mais je suis loin d'être une spécialiste!

 

Ton rapport revele des vundo caché, donc quand on en enleve un, un nouveau prend ca place, et la ca vient de se reproduire donc réexecute vundofix encore une fois et poste le rapport ainsi qu'un nouveau rapport hijackthis. Si un autre revient on essayera autre chose.

 

@+

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...