Pas encore inscrit ?

Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs !

Se connecter

ou

S’inscrire

Interpreation HIJACKTHIS

Par kpaul4
le 12 mai 2005 dans Analyses et éradication malwares

https://forum.zebulon.fr/topic/66373-interpreation-hijackthis/

Abonnés 0

Messages recommandés

kpaul4

Posté(e) le 12 mai 2005

- Signaler

Posté(e) le 12 mai 2005

Bonsoir,

Je pense avoir un probleme sur mon pc car lorsque je le laisse tourner une journée ou une nuit sans y toucher , je voit a mon retour le message :unable to open database file et ma souris est comme deconecté (meme la lumiere rouge de la souris optique ne fonctionne plus !)

alors j'aimerai savoir si j'ai un "malware"(jadore ce mot) dans mon micro ordinateur(celui la aussi )

merci

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

D:\Logiciel\Msn plus\MsgPlus.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\ALCFDRTM.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\ALCMTR.EXE

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

D:\Logiciel\AD-AWA~1\Ad-Watch.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

D:\Logiciel\PeerGuardian2\pg2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\LANDesk\Shared Files\residentagent.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

D:\Logiciel\Diskeeper\DkService.exe

C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtTry.exe

C:\Program Files\LANDesk\System Manager\BIN\ssm.exe

C:\Program Files\LANDesk\System Manager\BIN\modemview.exe

C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

D:\Logiciel\UltraVNC\WinVNC.exe

D:\Logiciel\VNC4\WinVNC4.exe

C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe

D:\Logiciel\eMule\emule.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Logiciel\Internet Download Manager\IDMan.exe

C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe

D:\Logiciel\Mozila\firefox.exe

C:\WINDOWS\explorer.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Kintzig\LOCALS~1\Temp\Rar$EX00.969\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.files-ftp.com/~unicorni/phpBB2/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Logiciel\Internet Download Manager\IDMIECC.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Logiciel\Acrobat Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Logiciel\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [MessengerPlus3] "D:\Logiciel\Msn plus\MsgPlus.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Logiciel\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [AWMON] "D:\Logiciel\AD-AWA~1\Ad-Watch.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "D:\Logiciel\Msn plus\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [PeerGuardian] D:\Logiciel\PeerGuardian2\pg2.exe

O4 - HKCU\..\Run: [NBJ] "D:\Logiciel\Nero\Nero BackItUp\NBJ.exe"

O4 - Startup: Managed Services Agent (2).lnk = C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtTry.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Logiciel\Acrobat Reader\Reader\reader_sl.exe

O8 - Extra context menu item: Download All Links with IDM - D:\Logiciel\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - D:\Logiciel\Internet Download Manager\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'xfire_lsp_9996.dll' missing

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15012/CTSUEng.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://vscanasap.mondsi.com/VS2/bin/myCioAgt.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15012/CTPID.cab

O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Program Files\McAfee\Managed VirusScan\Agent\myRmProt3.0.0.607.dll

O23 - Service: LANDesk® Management Agent (CBA8) - LANDesk® Development, Ltd - C:\Program Files\LANDesk\Shared Files\residentagent.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Logiciel\Diskeeper\DkService.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LANDesk® System Manager System Space Manager (LSM_SSM) - LANDesk® Software Ltd. - C:\Program Files\LANDesk\System Manager\BIN\ssm.exe

O23 - Service: McShield - Network Associates, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe

O23 - Service: LANDesk Message Handler Service (ModemView) - LANDesk® Software Ltd. - C:\Program Files\LANDesk\System Manager\BIN\modemview.exe

O23 - Service: McAfee Managed Services Agent (myAgtSvc) - McAfee, Inc. - C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - D:\Logiciel\UltraVNC\WinVNC.exe" -service (file missing)

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\Logiciel\VNC4\WinVNC4.exe" -service (file missing)

Citer

Invité Stonangel

Posté(e) le 12 mai 2005

- Signaler

Posté(e) le 12 mai 2005

Bonsoir kpaul4 bonsoir à tous, je regarde ton rapport réponse dans un moment.

Citer

Invité Stonangel

Posté(e) le 12 mai 2005

- Signaler

Posté(e) le 12 mai 2005 (modifié)

Re, télécharge et installe

CleanUp

http://downloads.stevengould.org/cleanup/CleanUp40.exe

LSPfix

http://www.cexx.org/lspfix.zip

Dézippe le dans un répertoire alloué et place un raccourci sur le bureau

Installe Hijackthis correctement. Tutorial pour l’installation et l'utilisation:

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing itemsest activée et coche la ligne suivante :

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

Démarre LSPFix, mets le plein écran

Coche 'I know what I'm doing'

Sélectionne dans la colonne Keep la dll : xfire_lsp_9996.dll fais la passer vers la droite Remove à l'aide des flèches puis clique sur Finish.

Démarre en mode sans échec (F8 ou F5)

Assure toi d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Supprime le fichier incriminé (s'il existe encore) :

ALCMTR.EXE <utiliser la fonction rechercher

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

Lance CleanUp

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

Modifié le 12 mai 2005 par Stonangel

Citer

kpaul4

Posté(e) le 13 mai 2005

Auteur

- Signaler

Posté(e) le 13 mai 2005

merci pour ce tuto !!

mon nouveau log:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

D:\Logiciel\Msn plus\MsgPlus.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\ALCFDRTM.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

D:\Logiciel\AD-AWA~1\Ad-Watch.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

D:\Logiciel\PeerGuardian2\pg2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\LANDesk\Shared Files\residentagent.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

D:\Logiciel\Diskeeper\DkService.exe

C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtTry.exe

C:\Program Files\LANDesk\System Manager\BIN\ssm.exe

C:\Program Files\LANDesk\System Manager\BIN\modemview.exe

C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

D:\Logiciel\UltraVNC\WinVNC.exe

D:\Logiciel\VNC4\WinVNC4.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe

D:\Logiciel\Hijackthis\HijackThis.exe