analyse de mon log hijack svp

[je@nne]

Bonjour ..

Qq pages intempestives qui ne sont pas bloquées par l'anti popup de IE7 et reviennent malgré suppression avec AdAware

Merci d'avance à tous

 

Logfile of HijackThis v1.99.1

Scan saved at 14:09:55, on 28/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\PROGRA~1\McAfee.com\Agent\McAgent.exe

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

C:\WINDOWS\system32\ctfmon.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\PROGRA~1\MESSEN~1\Msmsgs.exe

C:\Program Files\MSN Messenger\livecall.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Windows Live Mail desktop\wlmail.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Source

Engine\OSE.EXE

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Documents and Settings\@nthony\Bureau\hijackthis_199\HijackThis.exe

 

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655}

- c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [MCUpdateExe]

C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe

O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\McAfee.com\Agent\McAgent.exe

O4 - HKLM\..\Run: [VSOCheckTask]

"c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online]

"c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating

System Class) -

http://download.mcafee.com/molbin/shared/m...90/mcinsctl.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class)

-

http://download.mcafee.com/molbin/shared/m...,23/mcgdmgr.cab

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945}

- C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Program Files\Fichiers

communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc -

c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner -

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc -

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) -

McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) -

McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA

Corporation - C:\WINDOWS\system32\nvsvc32.exe

[bruce lee]

bonjour je@nne et bienvenue sur zebulon

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[je@nne]

bonjour je@nne et bienvenue sur zebulon

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

 

 

Bonsoir

Pardon du doublon que je ne comprends pas

 

Voici l'analyse

12/28/06 16:40:32 [info]: BlackLight Engine 1.0.55 initialized

12/28/06 16:40:32 [info]: OS: 5.1 build 2600 (Service Pack 2)

12/28/06 16:40:33 [Note]: 7019 4

12/28/06 16:40:33 [Note]: 7005 0

12/28/06 16:40:50 [Note]: 7006 0

12/28/06 16:40:50 [Note]: 7011 1340

12/28/06 16:40:50 [Note]: 7026 0

12/28/06 16:40:51 [Note]: 7026 0

12/28/06 16:40:51 [Note]: 7024 3

12/28/06 16:40:51 [info]: Hidden process:

C:\windows\system32\hxrcbuuexy.exe

12/28/06 16:41:05 [Note]: FSRAW library version 1.7.1021

12/28/06 16:47:25 [info]: Hidden file:

c:\WINDOWS\system32\hxrcbuuexy.dat

12/28/06 16:47:25 [Note]: 10002 1

12/28/06 16:47:25 [info]: Hidden file:

C:\windows\system32\hxrcbuuexy.exe

12/28/06 16:47:25 [Note]: 10002 1

12/28/06 16:47:25 [info]: Hidden file:

c:\WINDOWS\system32\hxrcbuuexy_nav.dat

12/28/06 16:47:25 [Note]: 10002 1

12/28/06 16:47:26 [info]: Hidden file:

c:\WINDOWS\system32\hxrcbuuexy_navps.dat

12/28/06 16:47:26 [Note]: 10002 1

 

Encore Merci de votre bienveillance

[bruce lee]

bonjour

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

2/ Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

ouvre le bloc note(demarrer\tous les programmes\accessoires\bloc notes)

 

 

3/ copie ceci (sans le mot citation):

 

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hxrcbuuexy

RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hxrcbuuexy

RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|hxrcbuuexy

FileDelete %SYSDIR%\hxrcbuuexy_navup.dat

FileDelete %SYSDIR%\hxrcbuuexy_navps.dat

FileDelete %SYSDIR%\hxrcbuuexy_nav.dat

FileDelete %SYSDIR%\hxrcbuuexy.dat

FileDelete %SYSDIR%\hxrcbuuexy.exe

 

-Enregistrez dans: C:\BFU

-Nom du fichier : aftermath.bfu (attention! l'extension doit bien etre .bfu et pas autre chose)

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

 

 

4/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

5/Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\aftermath.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

 

6/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

7/Redémarre en mode normal

 

 

8/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis et enfin un nouveau rapport de blacklight

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[je@nne]

bonjour

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

2/ Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

ouvre le bloc note(demarrer\tous les programmes\accessoires\bloc notes)

3/ copie ceci (sans le mot citation):

-Enregistrez dans: C:\BFU

-Nom du fichier : aftermath.bfu (attention! l'extension doit bien etre .bfu et pas autre chose)

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

4/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

5/Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\aftermath.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

6/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

7/Redémarre en mode normal

8/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis et enfin un nouveau rapport de blacklight

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

 

Bonsoir et encore merci

 

je ferai cela ... l'année prochaine car il faut que j'aille aux fourneaux !!

 

Bon réveillon ( à tous )

@+

[bruce lee]

re,

 

Bon réveillon a toi aussi

 

a l'année prochaine

 

@+

[je@nne]

re,

 

Bon réveillon a toi aussi

 

a l'année prochaine

 

@+

 

Bonsoir à tous ..

 

et désolée de revenir si tard ..

mais Anthony a préféré formater CAR le résultat de BFU était identique ..

et malgré la suppression de Winfixer déjà supprimé par ewido

 

Encore Merci beaucoup

Bonne année à tous !

[bruce lee]

bonjour je@nne,

 

dommage......