hijackthis

[reignac]

hello bonjour a tous

 

et oui me voila fraichement arrive de la normandie avec mes petits problemes

 

J'ai du attraper 1 trojan qui est passé a travers mon firewall et mon AV ( sygate et norton), voila et il me fait des installations de partout sans que je vois rie ndes que je suis connecte à Internet j'ai donc suivi vos conseils : spybot, CWS et en dernier recours l ehijackthis bon j'ai reussi a interpreter des choses grace a vos explications et celui du site hijack mais la je bloque il me dit d'effacer des msupdate.exe et j'y arrive pas ainsi que winctlask un truc qui s'installe pas tres sympathiquement donc je sais plus quoi faire je vous apelle à l'aide

 

je vous colle le dernier log que j'ai sorti

voila merci d'avance

 

Logfile of HijackThis v1.98.2

Scan saved at 16:28:05, on 14/12/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE

C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsc32.exe

C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\mssupdate.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Windows ControlAd\WinCtlAd.exe

C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.neuf.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe

O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvzhb32.exe

O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe

O4 - HKLM\..\Run: [start Uppings] mssupdate.exe

O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe

O4 - HKLM\..\RunServices: [start Uppings] mssupdate.exe

O4 - HKLM\..\RunOnce: [NvCplScan] nvsc32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe

O4 - HKCU\..\Run: [start Uppings] mssupdate.exe

O4 - HKCU\..\RunServices: [start Uppings] mssupdate.exe

O4 - HKCU\..\RunOnce: [NvCplScan] nvsc32.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30032a57596419...RdxIE601_fr.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200401...meInstaller.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1098886332500

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE570644-3573-4609-A580-33F8CA86A9FC}: NameServer = 80.118.192.100 80.118.196.36

[Invité tesgaz]

Salut,

 

il faut desactiver ces processus, en mode sans echec

ces 3 la sont les fichiers qui réinfecte ta machine

C:\WINDOWS\System32\nvsc32.exe

C:\WINDOWS\System32\mssupdate.exe

C:\Program Files\Windows ControlAd\WinCtlAd.exe

C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe

ensuite tu vas dans le répertoire

et tu les supprimes

n'oublies pas de supprimer celui la aussi : C:\windows\system32\kalvzhb32.exe

 

 

 

 

pour le reste, tu fixe ces lignes dans hijackthis

O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe

O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvzhb32.exe

O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe

O4 - HKLM\..\Run: [start Uppings] mssupdate.exe

O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe

O4 - HKLM\..\RunServices: [start Uppings] mssupdate.exe

O4 - HKLM\..\RunOnce: [NvCplScan] nvsc32.exe

O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe

O4 - HKCU\..\Run: [start Uppings] mssupdate.exe

O4 - HKCU\..\RunServices: [start Uppings] mssupdate.exe

O4 - HKCU\..\RunOnce: [NvCplScan] nvsc32.exe

 

ca devrait aller mieux

[reignac]

je n'ai que 2 mots :

YES !!!!!!!!!!!!!!! et merci !

 

 

je n'avais pas pense au mode sans echec et la ce fut LA methode !!!!!!!

 

Et merci aussi pour le detaildu hijackthis ....

 

j'ai fait ce que tu m'as dit a l'exception d'un fichier que j'ai pas trouve mais que j'avais du deja reussir a supprimer ( a suivre !) et fixe le reste et la le reboot à fonctionner et je me connecte et pour l'instant tout va bien !!

 

Merci beaucoup de ton aide !!!

 

Cécile