Clé du registre et rapport hickjacthis

Serafin · le 30 août 2007

Salut à la communauté de zebulon

Voila a priori pas de soucis enfin je l'espere, j'ai fait un rapport hickjakthis (histoire de s'avoir m'en servir quand l'occasion se presentera)

Le voici:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:11:33, on 30/08/2007

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Windows\System32\rundll32.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\ASUS\ATK Media\DMedia.exe

C:\Windows\ASScrPro.exe

C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE

C:\Program Files\Belkin Mouse 1.0\Mouse32A.exe

C:\Windows\System32\oopmagentts.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Users\robin\Documents\Antivirus,spy-ware...(en derniere recours)\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [sMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe

O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone.exe

O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe

O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe

O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALuNotify.exe

O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Belkin Mouse 1.0\MOUSE32A.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ooquickpdfv7] "C:\Windows\system32\oopmagentts.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [systrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: OFFICE One Startup v7.lnk = ?

O13 - Gopher Prefix:

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe

O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

--

End of file - 8234 bytes

J'ai lu vite fait, a priori pas de spy-ware ou autre saloperie, chaque logiciel me dit quelque chose bref rien ne m'a l'air inconnu. Je voulais juste savoir comment d'aprés un rapport vous juger si il est infecté et quel procédure faire?

Vous vous basez sur un site précis qui repertorie tout ca et qui vous dit quelle soft prendre pour s'en debarasser ?

Merci de vos reponses sur ce point et j'ai un autre point à éclaircir.

Voila je lance mon ccleaner (excellent soft):

Je vais dans =>Erreur>Chercher les erreurs>48 erreurs=> Reparer les erreurs selectionnés. La procédure se lance:

Et la je relance voir si il les a nettoyé (j'ai repeté une dizaine de fois l'opération); il n'en répare aucune.

Alors il y a t'il un soft ou ccleaner posséde t'il une option pour que je puisse vous passer le rapport, je pense pouvoir en faire certain a la main mais d'autre ou je n'ai aucune idée.

Merci a vous de vos réponses

eclypse · le 30 août 2007

Salut

Ouvre hijackthis et coche

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone.exe

O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe

O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe

O4 - HKLM\..\Run: [ooquickpdfv7] "C:\Windows\system32\oopmagentts.exe"

O4 - HKLM\..\Run: [systrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"

O4 - HKCU\..\Run: [speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup

Pour accèder aux services :

Cliques sur Démarrer
Cliques sur Executer
Tapes dans la fenêttre services.msc

Pour arrêter et désactiver un service :

Pour arrêter et désactiver un service :
Dans la liste déroulante trouves :

ASLDRSrv.exe
GFNEXSrv.exe
Clic droit sur Propriétés
Cliques sur Arrêter
Cliques sur désacriver
Ferme la fenêttre des services.

Télécharge Navilog1 sur ton bureau ensuite clique droit extraire tout

Dans le dossier double clique sur navilog1.bat a l'invite faire le choix 1 puis poster le rapport

Télécharge OTMoveIT(OldTimer) sur ton bureau

Copie le fichier suivant via le bouton droit copier puis ouvre OTMoveIT et colle le dans la partie File / Folder to be moved enfin clique sur MOVEIt !

C:\Windows\system32\oopmagentts.exe

Un rapport sera generé poste le egalement suivi du rapport navilog puis d'un autre hijack

@+

Eclypse

Serafin · le 31 août 2007

J'ai lancé Navilog, accés refusé j'ai meme pas pus l'installer, je fais quoi je tente en mode sans echec?

Je vais chercher un peu sur google, merci déja de te preoccuper de moi

A et quand tu dis, coche les, dans hickjacthis je suis pose qu'il fallait les supprimer?

Ah je progresse, il dit qu'il manque un fichier, je retelecharge ("il m'a suffit de faire pour les interessés "Executer en tant qu'admin en cliquant droit sur le fichier .bat )

Modifié le 31 août 2007 par Serafin

Serafin · le 31 août 2007

Je n'arrive pas à lancer navilog, je decompresse, no problem, je desactive avast ( pour éviter le blocage de script...).

Et je lance navilog en faisant clic droit =>Executer en tant qu'admin.

Il me dit qu'il manque le fichier "traiteregfsb.bat" alors que le fichier est bien présent j'ai du mal a comprendre ...

Voila je l'ai retelechargé et toujours le même probléme. Merci à toi je telechargerai l'autre et j'essaierai de faire un scann.

Serafin

eclypse · le 31 août 2007

Salut

C'est de ma faute faut que tu desactives l'uac en suivant ce tuto

@+

Eclypse

Serafin · le 31 août 2007

Bien c'est bon ca marche pour navi aprés avoir suivi le tutorial, redemarrer et le retelecharger.

-Voici le rapport Navilog:

Search Navipromo Vista Beta 1 commencé le 31/08/2007 à 19:38:27,34

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Users\robin\Desktop\Navilog1VistaBeta

Mise a jour le 08.08.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\Windows ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\ProgramData ***

*** Recherche dossiers dans C:\Users\robin\AppData\Roaming ***

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

*

**

***

****

*****

******

*******

********

*

**

***

****

*****

******

*******

********

3)Recherche Certificats :

*** Recherche avec GenericNaviSearch Beta ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Analyse Terminé le 31/08/2007 à 19:39:03,98 ***

-Voici le rapport Oldtimer (je crois que c'est ca ):

File/Folder [nobackups] not found.

File/Folder avenger.zip <Avenger by Swandog46> not found.

File/Folder Avenger not found.

File/Folder avenger.txt not found.

File/Folder bfu.zip <BFU by Merijn> not found.

File/Folder BFU not found.

File/Folder combofix.exe <ComboFix by sUBs> not found.

File/Folder QooBox not found.

File/Folder ComboFix*.txt not found.

File/Folder catchme.exe not found.

File/Folder nircmd.exe not found.

File/Folder swreg.exe not found.

File/Folder Swxcacls.exe not found.

File/Folder Swsc.exe not found.

File/Folder dss.exe <Deckard's System Scanner by Deckard> not found.

File/Folder Deckard not found.

File/Folder FindAWF.exe <FindAWF by noahdfear> not found.

File/Folder AWF.txt not found.

File/Folder fixwareout.exe <FixWareout by LonnyRJones> not found.

File/Folder fixwareout not found.

File/Folder fsbl.exe <F-Secure BlackLight> not found.

File/Folder fsbl*.log not found.

File/Folder gmer.exe <GMER by Gmer> not found.

File/Folder gmer.dll not found.

File/Folder gmer.ini not found.

File/Folder gmer.log not found.

File/Folder gmer_uninstall.cmd not found.

File/Folder gmer.sys not found.

File/Folder gmer <delete service> not found.

File/Folder haxfix.exe <Haxfix by Markie> not found.

File/Folder haxfix.txt not found.

File/Folder killbox.exe <Killbox by Option^Explicit> not found.

File/Folder !Killbox not found.

File/Folder OTMoveIt.exe <OTMoveIt by OldTimer> not found.

File/Folder _OTMoveIt not found.

File/Folder rustbfix.exe <Rustbfix by Ejvindh> not found.

File/Folder Rustbfix not found.

File/Folder sdfix.exe <SDFix by Andy_Manchesta> not found.

File/Folder SDFix not found.

File/Folder SmitfraudFix.exe <SmitfraudFix by S!Ri> not found.

File/Folder SmitfraudFix not found.

File/Folder rapport.txt not found.

File/Folder SysInsite <System Insite by Bobbi Flekman> not found.

File/Folder VundoFix.exe <VundoFix by Atribune> not found.

File/Folder VundoFix Backups not found.

File/Folder vundofix.txt not found.

File/Folder win32delfkil.exe <WinDelfKil by Markie> not found.

File/Folder _backupD not found.

File/Folder windelf.txt not found.

File/Folder winpfind.exe <WinPfind by OldTimer> not found.

File/Folder WinPfind not found.

File/Folder winpfind3u.exe <WinPFind3 by OldTimer> not found.

File/Folder WinPFind3u not found.

File/Folder cleanup.txt not found.

File/Folder [deleteself] not found.

Created on 08/31/2007 19:33:40

-Et le rapport hickjakthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:40:51, on 31/08/2007

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Windows\System32\rundll32.exe

C:\Windows\system32\taskeng.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\ASUS\ASUS Live Update\ALU.exe

C:\Program Files\ASUS\ATK Media\DMedia.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\PowerForPhone\PowerForPhone.exe

C:\Windows\ASScrPro.exe

C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE

C:\Program Files\Belkin Mouse 1.0\Mouse32A.exe

C:\Windows\System32\oopmagentts.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\notepad.exe

C:\Windows\system32\SearchFilterHost.exe