quelqu un pour analyser mon rapport hijack please

[benx23]

bonjour, apres avoir farfouilé dans les pages du forum pour essayer de resoudre mon probleme seul , je suis forcé de vous demander de l'aide. Comme apparement bcp de gens , j'ai ma page de demarrage internet explorer qui s ouvre automatiquement sur about:blank avec l ouverture peu de temps apres d une pub, j'ai telechergé ad aware et sybot , rien n y fait , j'ai donc telecharger hijack et essayé d'analyser le rapport d erreur seul , j'ai viré quelques trucs mais el rpobleme est toujours la ! si quelqu un ets pret a m'aider ca ne serait pas de refus !!! ci dessous le rapport d hijack

 

 

Logfile of HijackThis v1.97.7

Scan saved at 05:46:58, on 23/06/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\Program Files\Norton Internet Security\ccPxySvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\drag'n drop cd+dvd\BinFiles\DragDrop.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Documents and Settings\benjamin\Local Settings\Temporary Internet Files\Content.IE5\SPIBKXUZ\Package_tuto_prg_Hijackthis1-97-7[1]\HijackThis.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7CA3FE6B-7FEF-4999-950E-97EC23AD67F8} - C:\WINDOWS\System32\acfjhda.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\Run: [iSP] C:\Program Files\sony\ISPselector\ISPselector.exe /SCHEDULER

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - Global Startup: Image Transfer.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

 

merci d'avance a ceux qui pourront m aider , je sais que ce genre de post doit revenir souvent , je m'excuse d'avance !!

[Invité tesgaz]

Salut benx23,

 

et bienvenu sur zebulon,

 

alors ce que tu peux supprimer ca nefaste :

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe < < non conforme avec notre charte

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: (no name) - {7CA3FE6B-7FEF-4999-950E-97EC23AD67F8} - C:\WINDOWS\System32\acfjhda.dll

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

 

tu supprimes et tu rebootes

 

tiens nous au courant

[benx23]

je viens de le faire, apparement ca m'a bien enlevé l'affichage automatique de la page d'accueil about blank, je te remercie , j'espere que ca va pas revenir . j'avais enlevé des trucs mais j'avais pas rebooté mon pc donc ca n'a surement eu aucune incidence ! Y a t il une parade assez efficace pour empecher ce genre de truc de revenir , un programme a telecharger ?

en tout cas ce site est beton , vous etes super rapide et efficace ca fait plaisir, merci encore !!!!

[Invité tesgaz]

re,

 

tu peux toujours installer SpywareBlaster qui inscrit des clés dans la base de registre en lieu et place des spywares connus

http://telechargement.zebulon.fr/122-SpywareBlaster.html

 

ou sinon, installer un autre navigateur tel que :

Opera, Firefox, mozilla, qui eux sont moins touchés par ce genre de désagrément

[benx23]

ok , merci beaucoup , je vais installer ce que tu viens de me filer mais souviens toi de moi car des que je vais avoir un pet de travers je vais accourir ici si tu as reponse a tout ! lol a bientot surement !! bonne journée !

[benx23]

b aoui je suis deja revenu , je peux pas installer le petit programme que tu m'as filé , ceci est inscrit en message d'erreur "This program has been damaged, possibly by a bad sector of the hard drive or a virus. Please reinstall it."

 

c'ets normal ou y'a encore une merde dans mon pc ?

[Invité tesgaz]

je sais qu'il existe des programmes qui sont nuisibles et dissimulés, peut être est-ce ton cas,

je te propose de suivre cette conversation ou il donne la procedure pour voir des clés affectées dans la base de registre,

jettes y un oeil et tiens nous au courant

http://forum.zebulon.fr/index.php?showtopi...=0entry358116

[benx23]

j'ai jeté un coup d oeil a on lien mais franchment c'ets un peu trop complexe pour un amateur comme moi, j'avoue que je suis dépassé ! Deplus tout refonctionnait bien jusqu'a ce matin , je retourne sur ie et re about blank , ca fait super chié cette merde , j'ai refait un hijack , j'ai supprimé moi meme (au moins j'aurais appris ca) , rebootté le pc et tout est reparti nickel mais je suis certain de le retrouver d ici peu. Si tu as une methode moins complexe pour trouver la source de l infection fais moi signe , pour l instant seul les fixcheck de hijack me bouge le truc mais temporairement apparement.

les truc hkey local c'ets un peu trop complexe pour moi et la methode manuel est qd meme dur pour un newbie comme moi. bonne journée ciao

[benx23]

je laisse mon dernier log hijack au cas ou :

 

 

 

Logfile of HijackThis v1.97.7

Scan saved at 07:06:56, on 24/06/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\Program Files\Norton Internet Security\ccPxySvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\drag'n drop cd+dvd\BinFiles\DragDrop.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\benjamin\Local Settings\Temporary Internet Files\Content.IE5\JM4F39S5\HijackThis[1].exe

C:\Program Files\Messenger\msmsgs.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\benjamin\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\benjamin\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\benjamin\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\benjamin\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\benjamin\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\benjamin\LOCALS~1\Temp\sp.html

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {532D647B-B839-450B-B487-2718F169AA9E} - C:\WINDOWS\System32\alplf.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\Run: [iSP] C:\Program Files\sony\ISPselector\ISPselector.exe /SCHEDULER

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - Global Startup: Image Transfer.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

[Y@kuz@]

Salut,

 

tu peux enlever tout cà :

 

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

"C:\WINDOWS\System32\ezSP_Px.exe"

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

le truc entre "" , je sais pas ce que c'est... le reste est inutile et n'entravera pas le bon fonctionnement de Nero, Office et Cie.

Modifié le 24 juin 2004 par Y@kuz@