hijack

[nemoo]

bonjour

que dois-je faire ?

merci d'avance

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:21:21, on 08/03/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\HP\KBD\KBD.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\System32\hphmon05.exe

C:\WINDOWS\System32\rundll32.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\Program Files\a2\a2guard.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kdrml.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kdrml.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kdrml.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kdrml.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kdrml.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kdrml.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kdrml.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.vwrlppmqhgudeduynynlxph.com/D4c.../0rZu7OhPN0.jsp

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://qfr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {72763199-C2D7-3547-5C10-D62AF7ADE07C} - C:\WINDOWS\system32\apifm32.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [bzmabw] C:\WINDOWS\System32\bqtkkp.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKCU\..\Run: [spyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup

O4 - HKCU\..\Run: [bestPopUpKiller] C:\Program Files\BestPopUpKiller\BestPopupKiller.exe /startup

O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.awmdabest.com (HKLM)

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

O16 - DPF: {23232323-2323-2323-2323-232323291122} - file://c:\x.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe" start (file missing)

O23 - Service: Workstation NetLogon Service (? 6QÔõ'ª´ÆÐ - Unknown owner - C:\WINDOWS\system32\winao32.exe (file missing)

[H3aVeN]

Salut ben regarde dans ma signature ya de quoi analysé ton log mais bon .... tu pourrais au moins présenter ton problème... nous ne sommes pas une machine a analyser des logs .. L'URL dans ma signature oui mais pas Zeb .....

 

@+

Modifié le 8 mars 2005 par H3aVeN

[Richard1]

Bonjour nemoo et bien sûr H3aVeN,

 

H3aVeN t'a donné une bonne réponse claire. Tu peux faire ton analyse toi-même.

 

Je suis nouveau dans ce forum et je n'en connais pas toutes les règles, du moins, pas encore.

 

J'aurais voulu tenter de "faire" l'analyse de ton log mais, je vais m'en tenir à ce que H3aVeN t'a suggéré. Je ne désire pas interférer avec qui que ce soit.

 

J'aimerais par contre te suggérer quelque chose.

 

AVANT de scruter toi-même ton log chez www.hijackThis.de fais donc un scan de ton ordi par un antivirus en ligne car il y a un virus dans ton ordinateur.

 

Voici ce que je suggère comme procédure:

 

IMPORTANT :Commence par imprimer ce document : ce sera plus facile à suivre ÉTAPE PAR ÉTAPE.

Note qu’il faut faire TOUTES les étapes une après l’autre.

 

Je te suggère le programme antivirus 2005 suivant : c’est un anti-virus, un pare-feu, un anti-Trojans et anti-certains parasites.

 

Il n'est pas gratuit mais, il l'est pour 30 jours. (Suffisamment longtemps pour régler ton problème)

Commence par un scan en ligne (gratuit) (Je sais que certains n'aiment pas cet antivirus mais je le propose car je l'ai depuis 2 ans et...pas de problème du tout.

C'est une question de choix personnel.

 

www.pandasoftware.com/fr

 

En bas à gauche clic sur le Cercle.

 

Clic sur scan your pc

 

Clic sur Next

 

Écris ton email - ton pays - ta région

 

Télécharge le programme et ensuite clic sur:

Scan All my computer et sois patient.

 

Si cet antivirus (multi-fonctions) trouve quelque chose il t en débarrassera sans que tu fasses quoi que ce soit.

 

 

Dans un second temps, voici ce que tu vas faire :

 

Télécharge ce programme :

SPYBOT Search & Destroy VERSION 1.3 (clic sur Download)

http://www.ejrs.biz/spybot/

 

tous les fichiers et supprime ce qu’il trouvera.

 

 

Dans un troisième temps, télécharge ce programme gratuit :

http://www.download.com/Ad-Aware-SE-Person...ubj=dl&tag=top5

Clic sur Start et met un crochet (ou un point) sur FULL SYSTEM SCAN (Je désire que tu fasses un scan de TOUS tes fichiers.

 

Fais un scan complet et supprime tout ce qui est produit par ce scan. (Il suffit de cocher toutes les lignes trouvées et de cliquer sur supprimer)

----------------------------------------------------------------------------------------

Voici aussi le même programme (Ad-Aware) mais avec une procédure de fonctionnement au cas où la langue anglaise ne t'es pas familière.

http://lavasoft.element5.com/french/support/download/#free

 

Clic sur la barre verte en haut à droite, (sur les mots Top Rated).

Dans la nouvelle fenêtre, clic sur Download Now (à gauche).

 

Clic ensuite sur : Save

Sauve le programme sur le bureau. (Bien sûr, clic sur le mot Enregistrer).

 

Clic sur Open et sur Next

Place un petit crochet devant la ligne : I accept the licence agreement

 

Clic sur Next autant de fois que cela est nécessaire.

 

Tu remarqueras que le programme cherchera à s’installer dans un répertoire de

Program Files sous le nom : Ad-Aware SE Personal. (Retiens bien ce nom).

Sur le dernier tableau, tu verras 3 crochets. Ne garde que le premier et le

deuxième. (déclique le 3ième ). (Le 3ième n’est que des instructions en anglais.).

 

Ce programme te fera un scan complet lorsque tu cliqueras enfin

sur Finish.

 

Dans un quatrième temps, télécharge ce programme.

http://www.soft32.com/download_19014.html

Ferme TOUS LES PROGRAMMES et fais un scan.

 

Dans un dernier temps, télécharge ce programme gratuit et fais un scan et élimine tout ce qu’il trouvera.

http://www.download.com/3000-2239-10262215...page&tag=button

 

********************************************************************

 

Quand ce sera fini, redémarre ton ordinateur et vois si ce fameux virus est encore là.

 

Refais un scan avec HijackThis (à partir de son propre répertoire- c'est très important pour un retour en arrière si nécessaire).

 

Va au lien suggéré clairement par H3aVen et fais une évaluation. Il se peut que le résultat de ton scan soit un peu meilleur car...en ce moment ce n'est pas fameux.

 

Dis-toi bien que c'est préférable de faire fonctionner hijackThis en mode sans échec mais...pour le moment (je manque de mots...!!!), commence par le mode normal. On verra ensuite.

 

Merci de revenir avec tes commentaires.

 

Bien amicalement

 

Richard1 (Montréal, Canada)