Rapport HJT

[angelique]

bon

 

• executer--services.msc

 

va tout de meme me reperer ces 4 lignes de services , double clic sur chaque, type de demarrage "désactivé", appliquer , clic arreter.

 

McAfee Alert Manager

McAfee Framework Service

Network Associates Task Manager

Norman ZANDA

 

• Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

repasse le desinstaller de McAfee << http://download.mcafee.com/products/licens...atches/MCPR.exe >>

 

• HJT , possede un onglet "open the miscs tool section ", delete a NTService , tu peux le tenter si ci dessus n'a pas fonctionné.

[Digger]

bon

 

• executer--services.msc

 

va tout de meme me reperer ces 4 lignes de services , double clic sur chaque, type de demarrage "désactivé", appliquer , clic arreter.

 

McAfee Alert Manager

McAfee Framework Service

Network Associates Task Manager

Norman ZANDA

 

• Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

repasse le desinstaller de McAfee << http://download.mcafee.com/products/licens...atches/MCPR.exe >>

 

• HJT , possede un onglet "open the miscs tool section ", delete a NTService , tu peux le tenter si ci dessus n'a pas fonctionné.

 

 

Bon c'est ok. Je te mets le HJT.

 

Mais peux tu me donner des info sur les lignes suivantes:

 

R1 HKCUX soft...

O9 extra button create mobile favorite

O9 extra tools menuitem creer un favorit mobile

O14 IERESET.inf

les 3 lignes O17

O23 Service tivoli endpoint

O23 Service Tivoli remote ctrl.

 

Merci

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:55:27, on 12/03/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\ibmpmsvc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\a-squared Anti-Malware\a2service.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\System32\Ati2evxx.exe

C:\WINNT\system32\hidserv.exe

C:\WINNT\RCSERV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.kodak.com:81/proxy.pac

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

O4 - HKCU\..\Run: [E:\] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - .DEFAULT Startup: ieproxychk.bat (User 'Default user')

O4 - .DEFAULT Startup: userdata.bat (User 'Default user')

O4 - .DEFAULT User Startup: ieproxychk.bat (User 'Default user')

O4 - .DEFAULT User Startup: userdata.bat (User 'Default user')

O4 - Global Startup: Collect Most Frequent Userid.lnk.disabled

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O14 - IERESET.INF: START_PAGE_URL=http://home.kodak.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fr.kodak.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fr.kodak.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = fr.kodak.com

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: IBM PM Service (IBMPMSVC) - IBM Corp. - C:\WINNT\System32\ibmpmsvc.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe

O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\apps\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE (file missing)

O23 - Service: Tivoli Remote Control Service (TME10RC) - TIVOLI Systems - C:\WINNT\RCSERV.EXE

 

--

End of file - 5288 bytes

[angelique]

aah bah voila!

 

Mais peux tu me donner des info sur les lignes suivantes:

 

R1 HKCUX soft...

O9 extra button create mobile favorite

O9 extra tools menuitem creer un favorit mobile

O14 IERESET.inf

les 3 lignes O17

O23 Service tivoli endpoint

O23 Service Tivoli remote ctrl.

 

Les 09 sont lié à activesync, outils de synchro avec un mobile, PDA ........

Sections R0,R1,R2,R3

Cette section traite des pages de démarrage et de recherche d'Internet Explorer et des 'UrlSearchHooks'.

R0 concerne la page de démarrage et l'assistant de recherche d'Internet Explorer.

R1 concerne les fonctions de recherche d'Internet Explorer et d'autres particularités.

 

Section O14

Cette section correspond à un piratage de l'option 'Rétablir les paramètres Web'.

Il existe un fichier sur votre ordinateur qui est utilisé par Internet Explorer pour remettre les options à leurs valeurs Windows par défaut. Ce fichier est stocké dans c:\windows\inf\iereset.inf et il contient tous les paramètres par défaut. Lorsque vous rétablissez un paramètre, ce fichier sera lu et le paramètre sera rétabli selon ce qui est indiqué dans le fichier. Si un pirate modifie les informations contenues dans ce fichier, vous serez réinfecté en rétablissant ce paramètre, car les informations lues dans le fichier iereset.inf sont inexactes.

Exemple O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Veuillez faire attention: il est possible que ce paramètre ait été modifié légitimement par un fabricant d'ordinateurs ou l'administrateur système de la machine. Si vous ne reconnaissez pas l'adresse, vous devriez le corriger.

 

Tuto >> http://forum.pcastuces.com/sujet.asp?f=25&s=1244

 

Service Tivoli:

Lié à IBM >> http://www-306.ibm.com/software/fr/tivoli/

 

[Digger]

Dois je comprendre par ce "bah voilà" que tout est clean?

 

La section O17?

[angelique]

la section 017 , tu sais mieux que moi ce qui s'installe et est installé sur ton PC sinon oui c'est clean!

[Digger]

Bonjour,

 

un GRAND merci à Angélique pour sa patience et sa perspicacité qui alliées à son "professionnalisme" sont venus à bout des cata que j'avais provoqué.

 

Bonne journée