Rapport Hijackthis

Thanos · le 31 janvier 2007

Ok : est ce que tu peux éliminer le premier fichier reg, et essayer avec celui ci >

Si tu as éliminé le fichier, tu peux le télécharger depuis ce lien > http://www.sendspace.com/file/ufs45t
Tu n'as qu'a cliquer sur le lien en bas de page > Download Link: safeboot.reg

Son nom est safeboot.reg

Une fois sur ton bureau,double clique dessus: un message va te demander si tu acceptes la fusion avec le registre , accepte!

Il est possible qu'en double cliquant sur ce fichier, ca ouvre simplement le fichier au format texte , dans ce cas, ferme la fenêtre qui vient de s'ouvrir et fais un clic droit sur le fichier > choisis Fusionner.

On est bien d'accord que l'icône du fichier ressemble à ceci ? >

Modifié le 31 janvier 2007 par charles ingals

Thanos · le 1 février 2007

re!

Broly159 , je ne sait pas où tu en est, mais est ce que ton antivirus et ton parefeu fonctionnent encore?

si non, as tu désinstallé puis téléchargé et installé les logiciels de nouveau?

Broly159 · le 1 février 2007

oui l'icone est bien comme ca , j'ai executer safereboot et il n'a pas afficher de message d'erreur par contre mon antivirus et mon par feu ne fonctionne plus et j'ai du les dessinstaller j'ai voulu reinstaller zonealam mais il ne marche pas j'apercoie une page me disant de metre a jouer puis il se ferme automatiquement ce qui a pour effet de faire buguer mon conexion et il m'est incapable apres cela de naviguer sur le net toutes les pages se charge mal comme si j'avai mal entrer l'adresse .

Thanos · le 1 février 2007

He oui... comme je te disait cette saloperie s'attaque aux fichiers appartenant aux logiciels de protection !! du coup le parefeu et l'antivirus ne marchent plus

Quand tu dis que Zone Alarm ne marche pas après réinstallation, ca veut dire qu'il se referme aussitôt lancé?

Est ce que tu as réussi à installer et mettre à jour l'antivirus?

Refais moi un scan hijackthis stp

Broly159 · le 1 février 2007

oui il se referme et quand je clique pour faire la mise a jour rien ne se passe >_<

Logfile of HijackThis v1.99.1

Scan saved at 02:48:00, on 01/02/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\wuauclt.exe

C:\DOCUME~1\broly\LOCALS~1\Temp\winnhymhk.exe

C:\Program Files\MSN\MSNCoreFiles\MSN6.EXE

C:\PROGRA~1\MSNMES~1\msnmsgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\broly\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [steam] "C:\Program Files\Steam\Steam.exe" -silent

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?dd71c18bbf964432aa3a6a3fb6bdd4aa

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?dd71c18bbf964432aa3a6a3fb6bdd4aa

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs.chat.yahoo.co.jp/v45/yacscom.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/03ba98514d6ce6...RdxIE601_fr.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C534D44-D9C4-4E0A-AB78-67B493334104}: NameServer = 85.255.115.77 85.255.112.159

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Thanos · le 1 février 2007

Effectivement on le voit bien sur ton rapport !!

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C534D44-D9C4-4E0A-AB78-67B493334104}: NameServer = 85.255.115.77 85.255.112.159

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

Parce que tu ne parviens pas à télécharger Blacklight , essaie celui ci >

Télécharge gmer : http://www.gmer.net/gmer.zip

Déconnecte toi d'internet si possible et ferme tous les programmes.

Décompresse le fichier zip et double-clic sur gmer.exe

Clic sur l'onglet "rootkit" et clic sur Scan

Lorsque le scan est terminé, clic sur "copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

Poste aussi un nouveau rapport hijackthis.

Modifié le 1 février 2007 par charles ingals

Thanos · le 1 février 2007

Une dernière chose après ca :

Quoiqu'il arrive, essaie d'installer ce firewall, parce que je ne le vois pas dans la liste des logiciels effacés par le virus >

Jetico Personal Firewall > http://telechargement.zebulon.fr/225-jetic...irewall-fr.html

Comment le configurer > http://securite-facile.ovh.org/jetico.php

J'espère que celui ci s'installera sans problème!! (j'y crois!) essaie et tu me diras stp c'est important! tant qu'un parefeu n'est pas installé, les infections risquent de revenir .

Je te lirai demain matin , je vais me coucher (je bosse demain matin!)

Courage Broly le super guerrier

Modifié le 1 février 2007 par charles ingals

Broly159 · le 1 février 2007

aparement y a des rootkit sur mon pc ^^

GMER 1.0.12.12011 - http://www.gmer.net

Rootkit scan 2007-02-01 13:55:46

Windows 5.1.2600

---- Kernel code sections - GMER 1.0.12 ----

.text ntdll.dll!NtClose 77F4B458 5 Bytes JMP 72033FAA

.text ntdll.dll!NtCreateProcess 77F4B5B8 5 Bytes JMP 72034135

.text ntdll.dll!NtCreateProcessEx 77F4B5C8 5 Bytes JMP 72034019

.text ntdll.dll!NtCreateSection 77F4B5E8 5 Bytes JMP 72033FC8

---- Registry - GMER 1.0.12 ----

Reg \Registry\USER\S-1-5-21-839522115-1979792683-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D8A862B5-F09D-78DA-2E1F-406CA7FCDFA3}@oahiancjhibagnficokdpmgnlnlihf 0x63 0x61 0x68 0x63 ...

Reg \Registry\USER\S-1-5-21-839522115-1979792683-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D8A862B5-F09D-78DA-2E1F-406CA7FCDFA3}@oallhephhfeimldahdednijpjlcepe 0x6B 0x61 0x68 0x63 ...

Reg \Registry\USER\S-1-5-21-839522115-1979792683-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D8A862B5-F09D-78DA-2E1F-406CA7FCDFA3}@nafmonefhffmlmfanbdhgnpgpmnd 0x6A 0x61 0x6B 0x63 ...

---- Files - GMER 1.0.12 ----

ADS C:\Documents and Settings\broly\Local Settings\Application Data\Microsoft\Messenger\xxxxx\SharingMetadata\xxx@hotmail.com\DFSR\Staging\CS{59B43AFA-A7C1-B86F-8281-8A6C316E87CF}1\11-{59B43AFA-A7C1-B86F-8281-8A6C316E87CF}-v1-{C0ECA941-784A-457B-A0A7-22B107755BB4}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

ADS C:\Documents and Settings\broly\Local Settings\Application Data\Microsoft\Messenger\xxxx\SharingMetadata\xxx@hotmail.com\DFSR\Staging\CS{59B43AFA-A7C1-B86F-8281-8A6C316E87CF}\11\14-{3EFE290E-EF79-484F-9F88-E40DE1A58C4D}-v11-{C0ECA941-784A-457B-A0A7-22B107755BB4}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1

ADS C:\Documents and Settings\broly\Local Settings\Application Data\Microsoft\Messenger\xxx\SharingMetadata\xxx\DFSR\Staging\CS{59B43AFA-A7C1-B86F-8281-8A6C316E87CF}\11\14-{3EFE290E-EF79-484F-9F88-E40DE1A58C4D}-v11-{C0ECA941-784A-457B-A0A7-22B107755BB4}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

---- EOF - GMER 1.0.12 ----

Logfile of HijackThis v1.99.1

Scan saved at 13:57:53, on 01/02/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\wuauclt.exe

C:\DOCUME~1\broly\LOCALS~1\Temp\winnhymhk.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\broly\Bureau\gmer.exe

C:\Program Files\MSN\MSNCoreFiles\MSN6.EXE

C:\PROGRA~1\MSNMES~1\msnmsgr.exe

C:\WINDOWS\system32\NOTEPAD.EXE