Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

H3aVeN

Mon log file

Messages recommandés

Comme je sais qu'il y a des specialistes ici je vous files mon log file . Mais ne soyez pas effrayer a mon avis c'est pas beau voir :

 

Logfile of HijackThis v1.97.7

Scan saved at 21:02:47, on 10/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe

C:\WINDOWS\avserve2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\crypserv.exe

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\avserve2.exe

C:\WINDOWS\avserve2.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\avserve2.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\wincmd\WINCMD32.EXE

C:\Program Files\HiJackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.68/search.php?v=6&aff=3133914

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.68/index.php?v=6&aff=3133914

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe

O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - Startup: Amsn.lnk = C:\Program Files\Amsn\amsn.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: AIM (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {40576C8E-093B-11D6-A73D-004005A6F551} (HttploadDlg Class) - http://download.oreka.com/httpload_cab/020220/httpload.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

 

 

voili voilou

 

Merci tesgaz car a mon avis c toi ki va repondre :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Invité tesgaz

salut,

 

oui, pas mal de cochonneries

 

C:\WINDOWS\avserve2.exe

C:\WINDOWS\avserve2.exe

C:\WINDOWS\avserve2.exe

C:\WINDOWS\avserve2.exe

C:\Program Files\wincmd\WINCMD32.EXE

 

:\WINDOWS\System32\drivers\CDAC11BA.EXE < a verifier celui la

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.68/search.php?v=6&aff=3133914

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.68/index.php?v=6&aff=3133914

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

 

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe

O4 - Startup: Amsn.lnk = C:\Program Files\Amsn\amsn.exe

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {40576C8E-093B-11D6-A73D-004005A6F551} (HttploadDlg Class) - http://download.oreka.com/httpload_cab/020220/httpload.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir H3aVeN, tesgaz, bonsoir à tous,

 

Je t'avertis que tu as des traces du virus Sasser (avserve2) !

Tu as aussi des traces de Gator (GMT)

 

Pour commencer, vire çà :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.68/search.php?v=6&aff=3133914

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.68/index.php?v=6&aff=3133914

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: AIM (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {40576C8E-093B-11D6-A73D-004005A6F551} (HttploadDlg Class) - http://download.oreka.com/httpload_cab/020220/httpload.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

 

Qu'est-ce que c'est ? connais-tu ?

O4 - Startup: Amsn.lnk = C:\Program Files\Amsn\amsn.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir tout l'monde

 

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

C'est 1 prog pour visualiser et transférer des photos numériques sur le DD.

Pas indispensable au démarrage.

 

Je suis pas sûr de l'utilité de ceux-ci.

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

Le mieux est de les désactiver, puis de voir si rien ne cloche quand tu lances les applis concernées.

Perso, j'utilise un bon gestionnaire qui gère également les processus.

Starter

 

VOILOU :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut H3aVeN, bonsoir à tous,

 

il est vrai que ton log n'est vraiment pas beau à voir ! Mais il se trouve qu'il y à 3 mois, j'étais exactement dans la même situation que toi : sasser + my way + my bar + GMT... que du méchant :-P qui revient sans cesse, j'étais au bord du formatage...

Aujourd'hui, plus rien :-( , explications :

 

- téléchargement puis installation de Firefox 0.9.1 : http://telechargement.zebulon.fr/100-Mozil...x-0.9.1-FR.html

 

- Alt+Ctrl+Suppr et tu fais fin de tâche à un maximum de programmes dans la limite du raisonnable... (pas touche aux applications système, ni à explorer.exe)

- menu démarrer/executer/msconfig => démarrage, tu décoches tout, sans exeption et tu redémarres.

 

- si tu as un antivirus d'installé sur ta machine, passes ton chemin. Sinon, fait un tour

sur ce site http://www.securiser.com pour effectuer un scan en ligne...

 

- désactivation d'internet explorer (TRES IMPORTANT) avec cette astuce : http://forum.zebulon.fr/index.php?showtopi...=0entry371630

 

- scan en masse des disques :

spybot

http://www.safer-networking.org/index.php?page=spybotsd

Ad-Aware

http://telecharger.01net.com/windows/Inter...ches/11643.html

CWShredder

http://209.133.47.200/~merijn/files/CWShredder.exe

(n'oublies pas les mises à jour de tous ces programmes...)

 

Pour CWShredder, je te conseille fortement de procéder ainsi :

 

Alt+Ctrl+Del et tu termines le processus "explorer"

A partir de là, tu ne devrais plus avoir d'îcone sur ton bureau mais seulement ton fond d'écran

- Tu fais en haut à gauche, nouvelle tâche et tu tapes "cmd"

Une invite de commande va s'ouvrir :

- pour accéder à un dossier, tu tapes : cd[espace][nom du dossier] puis entrée

- pour revenir un dossier en arrière, tu tapes : cd.. puis entrée

- pour voir le contenu du dossier, tu tapes : dir puis entrée

- pour exécuter CWShredder, tu te places dans le dossier où tu as mis l'executable et tu tapes CWShredder suivit de entrée.

- pour revenir à ton bureau, tu refais nouvelle tâche, et tu tapes "explorer"

 

- scan antivirus, si tu n'en a pas, tu l'as normalement déja fait :-P

 

Ensuite, il va falloir faire le ménage à la main :

- dans le disque C, tu places ta souris sur tous les fichiers l'icone de delttsul sur ce site

Perso, j'ai procédé de la façon suivant : tout ce qui est Microsoft Corporation, je laisse, toutes les entreprises que je connais (Ahead, Unlead, Yamaha, NVidia...) le laisse également, tout le reste => poubelle.

Même procédé dans le dossier system32 à l'intérieur de windows mais avec un petit peu plus de délicatesse :-P.

 

- dans la base de registres (un peu plus compiqué car cela demande un peu de tact, tu peux sauter cette étape si tu n'est pas très sur de toi) : faire des recherches (Ctrl+F puis, une fois le premier mot trouver, c'est F3 pour continuer la recherche) par mot clés, par exemple avserve, mybar....

 

- enfin, tu retournes dans les éléments de démarrage (msconfig) et tu coches les éléments que tu connais et qui te semblent indispensables

 

 

En espérant ne pas t-être endormis au cours de ta lecture... :-P

 

(sinon, bonnes vacances, je pars tout à l'heure... :P donc, si tu as des questions, je ne pourrais pas te répondre, mais d'autres prendront le relais :-P )

Modifié par Desmo_46

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour H3aVeN, tesgaz, ST@if, Desmo_46, bonjour à tous,

 

ST@if, merci pour tes infos concernant Nikon... et ton lien vers Starter !

 

Desmo_46, tu as raison d'élargir le sujet !

Dans le log, il y a des traces (il me semble que ce ne sont que des restes) de divers malwares et ceci dénote que le système n'est pas bien nettoyé et donc, qu'il y a une révision totale et générale à faire !

Excellent post ! je m'en veux de ne pas l'avoir fait ! :-(

Bonnes vacances ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous!

 

Merci Desmo_46 pour ton post très complet!

 

Y a juste là où je ne vois pas où tu veux en venir... :P

 

Ensuite, il va falloir faire le ménage à la main :

- dans le disque C, tu places ta souris sur tous les fichiers l'icone de delttsul sur ce site

 

Si kkun peut m'éclairer...

 

Merci, a+

Partager ce message


Lien à poster
Partager sur d’autres sites
(sinon, bonnes vacances, je pars tout à l'heure... :P donc, si tu as des questions, je ne pourrais pas te répondre, mais d'autres prendront le relais  :-( )

En tous les cas, c'est pas l'auteur qui te répondra pour l'instant.

Forum67.gif

Partager ce message


Lien à poster
Partager sur d’autres sites

Superbe post en effet. J'aurais juste rajouter à la fin un petit coup de TuneUp utilities pour nettoyer la base de registre qui doit être en piteux état.

 

Bonnes vacances aux heureux partants

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×