[Résolu] Analyse Hijackthis

[Nathanael]

Copie-colle le texte suivant (sans le mot code) dans le bloc-notes:

CHCP 1252
echo Effectué le %date% à %time%.>>recherche.txt
dir %Systemdrive%\*bonjour* /a h /s >>recherche.txt
notepad recherche.txt
del /q recherche.txt

 

Voici le résultat:

 

Effectué le 25/04/2007 à 19:00:38,23.

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5474-A6D9

 

Répertoire de C:\Program Files

 

24/04/2007 17:39 <REP> Bonjour

0 fichier(s) 0 octets

 

Répertoire de C:\Program Files\Steam\SteamApps\jami80\counter-strike\cstrike_french\sound\les_zinzins_way

 

18/12/2006 17:12 347 948 bonjourmachin.wav

1 fichier(s) 347 948 octets

 

Répertoire de C:\Program Files\Steam\SteamApps\jami80\counter-strike\cstrike_french\sound\misc

 

13/12/2006 23:55 17 210 bonjour.wav

1 fichier(s) 17 210 octets

 

Répertoire de C:\Program Files\Steam\SteamApps\jami80\counter-strike\cstrike_french\sound\Tigre&Dragon

 

10/04/2007 18:24 17 210 bonjour.wav

1 fichier(s) 17 210 octets

 

Répertoire de C:\Program Files\Steam\SteamApps\jami80\day of defeat\dod_french\sound\funsound

 

17/12/2006 15:01 17 210 bonjour.wav

1 fichier(s) 17 210 octets

 

Répertoire de C:\Program Files\Steam\SteamApps\jami80\day of defeat\dod_french\sound\ptt

 

10/11/2006 16:48 17 210 bonjour.wav

1 fichier(s) 17 210 octets

 

 

Ca l'air d'etre similaire

[Gof]

Re Nathanael

 

Décidément... Bon, supprime look.bat.

 

Télécharge LspFix de Cexx.org sur le bureau. Si tu perds ta connexion à l'issue de la manipulation qui suit, tu décompresse Lspfix.zip, double-clique sur Lspfix.exe ; coche 'I know what I'm doing' et clique sur 'Finish'.

 

Rends toi dans ton menu démarrer>Exécuter et tape : cmd

 

Une fenêtre va s'ouvrir. Copie-colle les éléments suivants (en gris) en suivant les instructions :

• sc stop Bonjour Service puis appuie sur [Entrée]
  

• sc delete Bonjour Service puis appuie sur [Entrée]
  

• regsvr32 /u c:\program files\bonjour\mdnsnsp.dll puis appuie sur [Entrée]
  

Ferme la fenêtre CMD.

 

Rends toi dans ton explorateur et supprime :

• c:\program files\bonjour <- ce dossier.
  

Ensuite, redémarre, poste un nouveau log hijackthis, et indique moi si tu as rencontré des soucis à faire la manipulation.

[Core13]

salut moi aussi j'ai ce fameux bonjour mais je n'ai jamais instalé itune je suis persuadé que bonjour est indesirable j'ai essayé de l'effacer avec unlocker mais il est attaché a tt mes logiciels en rapport avec internet genre mozilla mon pare feu ainsi de suite et je n'arrive pas a l'effacer

[Core13]

probleme resolu avec unlocker.

Alors telecharge unlocker instale le.

Ensuite va dans ton dossier programme files localise bonjour efface le, tu aura un message d'erreur.

Ensuite unlocker va se lancer et te donner une liste de tout les logiciels qui empeche l'effacement ,tu choisi effacer dans la liste deroulante et tu clic sur tout debloquer et normalement il te dira qu'il ne peut effacer mais qu'il ne le fera qu'apres le redemarage de l'ordi

donc redemare et normalement bonjour aura ete effacé

[Nathanael]

Re,

 

Re Nathanael

 

Décidément... Bon, supprime look.bat.

 

Télécharge LspFix de Cexx.org sur le bureau. Si tu perds ta connexion à l'issue de la manipulation qui suit, tu décompresse Lspfix.zip, double-clique sur Lspfix.exe ; coche 'I know what I'm doing' et clique sur 'Finish'.

 

Ca c'est fait meme si il m'a mis 0 fichiers delete ou je ne sais plus quoi...

 

 

 

Rends toi dans ton menu démarrer>Exécuter et tape : cmd

 

Une fenêtre va s'ouvrir. Copie-colle les éléments suivants (en gris) en suivant les instructions :

• sc stop Bonjour Service puis appuie sur [Entrée]
  

• sc delete Bonjour Service puis appuie sur [Entrée]
  

• regsvr32 /u c:\program files\bonjour\mdnsnsp.dll puis appuie sur [Entrée]
  

Ferme la fenêtre CMD.

 

 

Des que je tappe les phrases en grises: il m'ecrit des choses du genre

[sc] Open service failed 1060: le service spécifié n'existe pas en tant que service installé.

 

 

 

J'ai pas fait le reste aux vues de ces résultats.

 

N'aurais tu pas oublié une étape avec Lsp Fix, du genre passer un fichier .dll dans la colonne Remove au lieu de ts les laisser dans Keep?

Modifié le 25 avril 2007 par Nathanael

[Gof]

Re,

 

Si si continue justement.

 

Tu me rapporteras les informations qu'ils te disaient. Mais continue dans l'ordre indiqué.

[Nathanael]

Re,

 

Si si continue justement.

 

Tu me rapporteras les informations qu'ils te disaient. Mais continue dans l'ordre indiqué.

 

 

Deja quand je continue, je ne peux effacer le fichier. (impossible de supprimer mdnsNSP.dll : Accés refusé)

 

 

J'ai contiué quand meme et voici le log:

 

Logfile of HijackThis v1.99.1

Scan saved at 01:03:04, on 26/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\program files\steam\steam.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [DmwClient] "dmwclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [steam] "c:\program files\steam\steam.exe" -silent

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1160074922452

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ACC59C50-2024-4361-A133-E762144A2FEF}: NameServer = 80.10.246.2,80.10.246.129

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: WinFast® Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

A noter qu'au démarrage Service Bonjour s'est lancé.

Modifié le 25 avril 2007 par Nathanael

[Gof]

probleme resolu avec unlocker.

Bonsoir Core13, en effet unlocker est efficace parfois dans ce genre de cas. Mais il vaut mieux être prudent avec ces dll "collées" au réseau.

 

@Nathanael : Décidément, pas performant le Gof aujourd'hui.

 

Normalement, si tu as bien suivi ce que je t'ai dit, tu as déja téléchargé LSPFIX.

 

Redémarre en mode sans échec.

 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].Sélectionne ensuite ta session habituelle.

 

Double-clique Lspfix.exe.

Coche I know what I'm doing.

Dans la colonne de gauche, Keep, sélectionne mdnsNSP.dll et fais la glisser dans la colonne de droite Remove en cliquant sur ">>"

Puis clique sur Finish.

 

Supprime le dossier bonjour dans c:\program files. Redémarre et poste un nouveau log hijackthis.

[Nathanael]

Coche I know what I'm doing.

Dans la colonne de gauche, Keep, sélectionne mdnsNSP.dll et fais la glisser dans la colonne de droite Remove en cliquant sur ">>"

 

 

Tu m'avais pas dit de le faire ca, au début. Si je le fais sans etre en mode sans echec ca risque de pas passer?

[Gof]

Tu m'avais pas dit de le faire ca, au début

Non effectivement,je penssais qu'en désenregistrant simplement la dll il te serait possible de la supprimer ensuite. Visiblement ce n'était pas le cas, donc je te fais passer par lspfix qui est fait pour ce genre de dll.

 

Si je le fais sans etre en mode sans echec ca risque de pas passer?

Cela peut passer, mais il y a moins de chances que cela fonctionne en mode normal.