Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Hijackthis, la premiere fois

sulik

Par sulik
dans Optimisation, Trucs & Astuces

 Partager

Messages recommandés

sulik Junior Member

sulik

Posté(e)
Posté(e)

:P Bonjour à tous. J'ai constaté depuis kk tps un ralentissement global de mon Windows 2000 à l'ouverture, jusqu'à ce matin où il refusait litteralement d'accéder au bureau. Avec le gestionnaire des taches j'ai identifié des processus aux comportements anormaux: crep.exe, ieny.exe, ... . J'ai pu restauré ensuite mon bureau en désactivant puis relançant l'explorer et je me suis attelé à des travaux de recherche sur le Net pour trouver enfin Hjt ke je ne connaissait pas ( le topic d'utilisation sur ce site est drolement bien fait d'ailleurs!!).

Bref voici le log issu de mon premier scan:

 

Logfile of HijackThis v1.97.7

Scan saved at 14:03:37, on 15/07/2004

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\CTsvcCDA.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Norton Utilities\NPROTECT.EXE

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Norton Speed Disk\nopdb.exe

C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\MsPMSPSv.exe

C:\WINNT\crep.exe

C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe

C:\WINNT\explorer.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINNT\sdkdz32.exe

C:\Utilitaires\RegCleaner\RegCleanr.exe

C:\Program Files\Real\RealOne Player\realplay.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.exe

C:\Program Files\Norton Utilities\SYSDOC32.EXE

C:\Documents and Settings\Administrateur\Bureau\NET\Logiciels\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.ht...count_id=134993

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kafso.dll/sp.html#12802

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kafso.dll/index.html#12802

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.ht...count_id=134993

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kafso.dll/index.html#12802

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-exe.com/searchbar/iev1.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kafso.dll/sp.html#12802

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kafso.dll/index.html#12802

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\kafso.dll/sp.html#12802

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cg...ode=exesrch&fw=

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = res://mshp.dll/index.html#22776

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {2321229F-BB05-7845-9A5C-B2533705C668} - C:\WINNT\system32\ieww32.dll

O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"

O4 - HKLM\..\Run: [CapFax] C:\Program Files\Classic PhoneTools\CapFax.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\System32\WF2K.EXE

O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Utilitaires\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [rfclwhoxc] C:\WINNT\System32\horrfz.exe

O4 - HKLM\..\Run: [sdkdz32.exe] C:\WINNT\sdkdz32.exe

O4 - HKCU\..\Run: [sdbu] C:\Documents and Settings\Administrateur\Application Data\stsc.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess

O4 - HKCU\..\Run: [mslagent] C:\WINNT\mslagent\mslagent.exe

O4 - HKCU\..\Run: [usl] C:\WINNT\System32\pwcslp.exe

O4 - HKLM\..\RunOnce: [ipjz.exe] C:\WINNT\system32\ipjz.exe

O4 - HKLM\..\RunOnce: [crep.exe] C:\WINNT\crep.exe

O4 - HKLM\..\RunOnce: [ieny.exe] C:\WINNT\system32\ieny.exe

O4 - HKLM\..\RunOnce: [sdkkw.exe] C:\WINNT\sdkkw.exe

O4 - HKLM\..\RunOnce: [apiyy32.exe] C:\WINNT\apiyy32.exe

O4 - HKLM\..\RunOnce: [crry32.exe] C:\WINNT\system32\crry32.exe

O4 - Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.1_01) -

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C0ED343A-C923-4BA8-A70D-C27417B493DF}: NameServer = 213.228.0.23 212.27.32.176

 

J'avous avoir des doutes sur:

O4 - HKLM\..\RunOnce: [ipjz.exe] C:\WINNT\system32\ipjz.exe

O4 - HKLM\..\RunOnce: [crep.exe] C:\WINNT\crep.exe

O4 - HKLM\..\RunOnce: [ieny.exe] C:\WINNT\system32\ieny.exe

O4 - HKLM\..\RunOnce: [sdkkw.exe] C:\WINNT\sdkkw.exe

O4 - HKLM\..\RunOnce: [apiyy32.exe] C:\WINNT\apiyy32.exe

O4 - HKLM\..\RunOnce: [crry32.exe] C:\WINNT\system32\crry32.exe

ainsi que mslagent32

Kelkun peut-il m'aider?? Renseignements complémentaires: j'utilise PC-cillin en permanence avec MAJ régulières, Spybot et RegCleaner pour le nettoyage ainsi que Norton Utilities pour les réparations

 

Voili Voilo

 

Merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour sulik, bonjour à tous,

 

Je te souhaite la bienvenue sur Zebulon !

 

Je vais essayer d'analyser ton log mais d'ores et déjà, il y a plein d'éléments malicieux dont 2 que je connais :

- mslagent.exe (cheval de Troie)

- Instant Access (dialer) -> http://www.annoyances.org/exec/forum/winme/1089161507 !

 

Vu toutes tes défenses (impeccables à première vue), je dirais que tes utilitaires ne sont pas correctement mis à jour avant utilisation ! par exemple, as-tu bien la version 1.3 de Spybot ?

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonjour,

 

Je poste çà en quatrième vitesse (je suis au boulot), alors sois quand même méfiant ! :P

 

Coche et "Fix" :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.ht...count_id=134993

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kafso.dll/sp.html#12802

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kafso.dll/index.html#12802

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.ht...count_id=134993

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kafso.dll/index.html#12802

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-exe.com/searchbar/iev1.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kafso.dll/sp.html#12802

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kafso.dll/index.html#12802

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\kafso.dll/sp.html#12802

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cg...ode=exesrch&fw=

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = res://mshp.dll/index.html#22776

 

O2 - BHO: (no name) - {2321229F-BB05-7845-9A5C-B2533705C668} - C:\WINNT\system32\ieww32.dll

O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll

 

O4 - HKLM\..\Run: [rfclwhoxc] C:\WINNT\System32\horrfz.exe

O4 - HKLM\..\Run: [sdkdz32.exe] C:\WINNT\sdkdz32.exe

O4 - HKCU\..\Run: [sdbu] C:\Documents and Settings\Administrateur\Application Data\stsc.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess

O4 - HKCU\..\Run: [mslagent] C:\WINNT\mslagent\mslagent.exe

O4 - HKCU\..\Run: [usl] C:\WINNT\System32\pwcslp.exe

O4 - HKLM\..\RunOnce: [ipjz.exe] C:\WINNT\system32\ipjz.exe

O4 - HKLM\..\RunOnce: [crep.exe] C:\WINNT\crep.exe

O4 - HKLM\..\RunOnce: [ieny.exe] C:\WINNT\system32\ieny.exe

O4 - HKLM\..\RunOnce: [sdkkw.exe] C:\WINNT\sdkkw.exe

O4 - HKLM\..\RunOnce: [apiyy32.exe] C:\WINNT\apiyy32.exe

O4 - HKLM\..\RunOnce: [crry32.exe] C:\WINNT\system32\crry32.exe

 

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

 

Pas nécessaire, à toi de voir si tu utilises :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

 

J'ai des doutes (est-ce que tu connais ?) :

O4 - HKLM\..\Run: [CapFax] C:\Program Files\Classic PhoneTools\CapFax.EXE

O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\System32\WF2K.EXE

O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

Lien vers le commentaire
Partager sur d’autres sites
sulik Junior Member

sulik

Posté(e)
  • Auteur
Posté(e)

Merci IPL pour ta rapidité (je ferais de la pub pour zebulon.fr sans porblème!!), j'ai cleané les entrées que tu m'as spécifié et apriori mes soucis ont disparu, mon démarrage se fait normalement.

Je n'avais pas la version 1.3 de Spybot, une erreur a ne pas reproduire....

Pour les entrée inconnues, elles correspondent à des logiciels ke j'utilise donc je les garde.

Merci encore , en espérant ke mes démarrages en foirent pas encore!

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...