[résolu]Log Hijack

[Pollux_63]

Bonjour à tous,

c'est ma pemière intervention, j'ai pu lire pas mal de sujets et il me semble que vous êtes sacrément balèzes.

 

Aprés installation de Messenger Plus (sans dévalider les sponsors, et oui...! )

Je me suis retrouvé avec 2 barres d'outils non désirées, impossible de supprimer par panneau de config, impossible de les fermer...plus multitude de redirections vers sites non voulus.

 

J'ai téléchargé Hijack, puis fais un scan. Mais je comprends rien au rapport; quelqu'un pourrait-il m'aider, svp? Merci d'avance.

 

Voici mon log:

 

Logfile of HijackThis v1.99.1

Scan saved at 20:53:13, on 16/04/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ATI Technologies\Panneau de contrôle ATI\atiptaxx.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\System32\svhostcs32.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\progra~1\intern~1\iexplore.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 202.158.39.62 ibank.barclays.co.uk

O1 - Hosts: 202.158.39.62 online-business.lloydstsb.co.uk

O1 - Hosts: 202.158.39.62 online.lloydstsb.co.uk

O1 - Hosts: 202.158.39.62 www.halifax-online.co.uk

O1 - Hosts: 202.158.39.62 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 202.158.39.62 www.nwolb.com

O1 - Hosts: 202.158.39.62 banesnet.banesto.es

O1 - Hosts: 202.158.39.62 extranet.banesto.es

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {EE3899A0-D739-4A93-7CA3-F4649F120774} - C:\DOCUME~1\Pauline\APPLIC~1\InterFor\AmokTime.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll (file missing)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Windows Update System Shell] svhostcs32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [multibookplatformtest] C:\Documents and Settings\All Users\Application Data\atomhidemultibook\bend real.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/31573d3187b0eb...RdxIE601_fr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D5FA532-8D9B-4133-B11F-764624EE92DC}: NameServer = 80.118.196.40 80.118.192.110

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)

[queruak]

Bonjour pollux_63, bonjour à tous,

 

Bienvenue sur Zebulon-sécurité !

 

Je regarde ton rapport, réponse dans quelques minutes.

[queruak]

Rebonjour,

 

Logfile of HijackThis v1.99.1

Scan saved at 20:53:13, on 16/04/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Tout d'abord je dois te signaler que tu n'es pas à jour.Laisser ainsi ton systme c'est avoir d'énormes failles.

Tu dois passer sur WindowsUpdate.

http://windowsupdate.microsoft.com/

 

-1-Télécharge cet outil

Hoster - Toadbee 2004

http://members.aol.com/toadbee/hoster.zip

Tu le dézippes dans un dossier dédié.

 

-2-Désinstalle via Ajout/suppression des programmes du panneau de configuration ,le(s) programme(s) suivant(s).(s'il est toujours présent)

-YourSiteBar

 

-3-Assure toi d'avoir accés à tous les fichiers.

Poste de travail

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

-4-Termine le(s) processus suivant(s).Fais attention à la syntaxe.

-svhostcs32.exe

Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->terminer processus.

 

-5-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous.

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 202.158.39.62 ibank.barclays.co.uk

O1 - Hosts: 202.158.39.62 online-business.lloydstsb.co.uk

O1 - Hosts: 202.158.39.62 online.lloydstsb.co.uk

O1 - Hosts: 202.158.39.62 www.halifax-online.co.uk

O1 - Hosts: 202.158.39.62 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 202.158.39.62 www.nwolb.com

O1 - Hosts: 202.158.39.62 banesnet.banesto.es

O1 - Hosts: 202.158.39.62 extranet.banesto.es

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {EE3899A0-D739-4A93-7CA3-F4649F120774} - C:\DOCUME~1\Pauline\APPLIC~1\InterFor\AmokTime.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll (file missing)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Windows Update System Shell] svhostcs32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [multibookplatformtest] C:\Documents and Settings\All Users\Application Data\atomhidemultibook\bend real.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/31573d3187b0eb...RdxIE601_fr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D5FA532-8D9B-4133-B11F-764624EE92DC}: NameServer = 80.118.196.40 80.118.192.110

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)

 

-6-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

 

-7-Lance Hoster - Toadbee 2004 et clique sur " Restore original Hosts "

 

-8-Redémarre en mode sans echec.

Comment démarrer Windows XP en mode sans échec

 

-9-Supprime les fichiers et dossiers suivants.Fais attention à la syntaxe

 

C:\WINDOWS\System32\svhostcs32.exe<-le fichier

 

C:\Documents and Settings\\Pauline\Application Data\InterFor<-le dossier.

 

C:\Documents and Settings\All Users\Application Data\atomhidemultibook<-le dossier

 

C:\Program Files\YourSiteBar<-le dossier

 

-10-Supprime les fichiers inutiles dans les répertoires Temp

 

celui de C:\Documents and Settings\ton identité\Local Settings\Temp <--tout le contenu

 

C:\Documents and Settings\autres identités\Local Settings\Temp <--tout le contenu

 

et celui de C:\Windows\Temp <--tout le contenu

 

-11-Supprime tous les fichiers de Temporary Internet Files via

Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton suppimer les fichiers .

 

-Supprime les Cookies .

 

-Supprime le contenu de Prefectch

C:\WINDOWS\Prefetch <--tout le contenu

 

-Vide la corbeille

 

-12-Redémarre normalement et poste un nouveau log HijackThis pour vérification.

 

NB/Deux antivirus, pas de pare-feu, pas de mises à jour ...Une fois le PC néttoyé,il faudra s'occuper sérieusement de la sécurité de ton ordi,on te dira comment faire.

 

@+

Modifié le 17 avril 2005 par queruak

[Invité tesgaz]

Salut queruak, salut à tous,

 

queruak,

 

que penses-tu de cette ligne ?

O2 - BHO: (no name) - {EE3899A0-D739-4A93-7CA3-F4649F120774} - C:\DOCUME~1\Pauline\APPLIC~1\InterFor\AmokTime.exe

[queruak]

Bonjour à tous,

 

Salut queruak, salut à tous,

 

queruak,

 

que penses-tu de cette ligne ?

O2 - BHO: (no name) - {EE3899A0-D739-4A93-7CA3-F4649F120774} - C:\DOCUME~1\Pauline\APPLIC~1\InterFor\AmokTime.exe

488865[/snapback]

 

Salut tesgaz

 

Je l'ai signalé,et demandé à supprimer le dossier.

Pourquoi tu me demande çà?

[Invité tesgaz]

oups,

 

désolé, j'ai mal regardé ta réponse

 

bon dimanche queruak

[queruak]

oups,

 

désolé, j'ai mal regardé ta réponse

 

bon dimanche queruak

488886[/snapback]

 

Pas grave,tesgaz

 

Bon dimanche à toi aussi

[Pollux_63]

Me revoilà !

 

Tout d'abord merci beaucoup 'queruak' pour ta première réponse.

Je n'ai pas pu passer toutes les étapes car c'était vraiment le boxon

impossible de télécharger ' Hoster - Toadbee '

impossible d'accéder à nouveau au Forum ( redirection systématique )

 

J'ai donc appliqué partiellement tes directives en espérant pouvoir réaccéder au Forum ( apparement ça a servi ); Points appliqués

N° 1 - non

N°2 - non (YourSiteBar pas présent )

N°3 - oui

N°4 - oui

N° 5 - oui

N°6 - oui

N°7 - non

N° 8, 9, 10, 11 - oui

N°12 - oui

 

voici mon Log - (et encore merci et bravo pour votre disponibilité à tous)

 

Logfile of HijackThis v1.99.1

Scan saved at 18:25:32, on 17/04/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ATI Technologies\Panneau de contrôle ATI\atiptaxx.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/31573d3187b0eb...RdxIE601_fr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D5FA532-8D9B-4133-B11F-764624EE92DC}: NameServer = 80.118.196.41 80.118.192.111

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)

[queruak]

Bonsoir à tous,

 

Encore une correction:

 

-1-Lance Hijackthis,scan,et coche la ligne en gras ci-dessous.

 

O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe

 

-2-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

 

-3-Toujours sur Hijackthis --> Config --> Misc Tools --> Delete file on reboot

entre :C:\WINDOWS\System32\svhostcs32.exe

 

-4-Redémarre en mode sans echec

 

-5-Supprime le fichier suivant(s'il est present)

 

C:\WINDOWS\System32\svhostcs32.exe <-le fichier

 

-Vide la corbeille.

 

-Redémarre normalement et poste un nouveau log hijackthis pour verification.

Modifié le 17 avril 2005 par queruak

[Pollux_63]

Correction effectuée aprés scan de Hijackthis ( objet fixé ) - posté a 20h10

 

par contre C:\WINDOWS\System32\svhostcs32.exe n'existe pas.

 

Redémarré en mode sans échec ( idem)

redémarré en mode normal, voici le Log.

 

une remarque: Dans ta 1ere réponse tu dis qu'il n'y a pas de pare feu, pourtant il est activé !!!