rapport hijackthis

[ingoenius]

ici la copie de mon rapport

 

merci de votre aide je ne comprend pas trop

mais je sais que :

mtu.bat cherche a demarrer au reboot de la machine

je supsonne

 

xpupdate.exe esiste sur la machine

navupdate64.exe

 

 

 

mtu.bat

@echo off

 

xpupdate.exe

 

REGEDIT.EXE /S re11.REG

REGEDIT.EXE /S re12.reg

 

blank.html

 

exit

 

 

 

ici le log file

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 07:36:57, on 25/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\navupdate64.exe

C:\WINDOWS\System32\NtKernelSystem.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopOE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareUpdater.exe

C:\PROGRAMMI\OUTILS\HijackThis1991.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\ANTIVIRUS\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [MS UniX] navupdate64.exe

O4 - HKLM\..\Run: [THGuard] "C:\Program Files\ANTIVIRUS\TrojanHunter 4.2\THGuard.exe"

O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe

O4 - HKLM\..\Run: [Compaq Service Drivers] NtKernelSystem.exe

O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE

O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers] NtKernelSystem.exe

O4 - HKLM\..\RunServices: [Vdat Update] lalaa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [Compaq Service Drivers] NtKernelSystem.exe

O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\RunServices: [Compaq Service Drivers] NtKernelSystem.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\SOFT\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\SOFT\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

[ipl_001]

Bonjour ingoenius, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

J'espère que tu te rends compte que tu utilises un système qui as des années de retard concernant la protection !

Seuls les professionnels de la sécurité peuvent se permettre la chose !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

[ipl_001]

Rebonjour ingoenius, rebonjour à tous,

 

Stoppe les processus suivants dans le Gestionnaire des tâches :

- C:\WINDOWS\ALCXMNTR.EXE

- C:\WINDOWS\System32\navupdate64.exe

- C:\WINDOWS\System32\NtKernelSystem.exe

 

Relance un scan HijackThis et coche les lignes en gras ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\ANTIVIRUS\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [MS UniX] navupdate64.exe

O4 - HKLM\..\Run: [THGuard] "C:\Program Files\ANTIVIRUS\TrojanHunter 4.2\THGuard.exe"

O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe

O4 - HKLM\..\Run: [Compaq Service Drivers] NtKernelSystem.exe

O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE

O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers] NtKernelSystem.exe

O4 - HKLM\..\RunServices: [Vdat Update] lalaa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [Compaq Service Drivers] NtKernelSystem.exe

O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\RunServices: [Compaq Service Drivers] NtKernelSystem.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\SOFT\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\SOFT\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

Redémarre l'ordinateur en mode sans échec.

- suppression des fichiers inutiles par

Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp

- Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

- C:\WINDOWS\ALCXMNTR.EXE

- C:\WINDOWS\System32\navupdate64.exe

- C:\WINDOWS\System32\NtKernelSystem.exe

- lalaa.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

[ingoenius]

Bonjour ingoenius, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

J'espère que tu te rends compte que tu utilises un système qui as des années de retard concernant la protection !

Seuls les professionnels de la sécurité peuvent se permettre la chose !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

508048[/snapback]

 

 

je attend patient et en silence

ps c'est bien si je installe firefox, et thunderbird a la place de IE et outloock??

[ingoenius]

OK je fait tout ca des que je rentre ce soir deja merci et a demain alors

 

tu crois qui est utile de creer un file .bat

 

qui ecrase les fichiers que tu m'as indiquee , au demmarrage??

avec une tache planifiee de windows???

[ingoenius]

alors j'ai fait tous ce qui tu ma conselle, c'a a l'aire d'aller un peu miex, cepandant encore quelque chose sort, antivir trouve ancore des worm mais il ne l'efface pas, je les efface manualment mais il reviennet,

 

demain je poste un 'autre log,

la choise bizaree est que l'analise en ligne du log

il me donne tout bon , mais antivir et spyboot detectent encore des chose est normal???

 

 

 

par contre j'ai installee firefox et thunderbird

et je sohuaite eliminer TOUTE trace de internet explorer et de outloock express

[Invité tesgaz]

et je sohuaite eliminer TOUTE trace de internet explorer et de outloock express

Salut,

 

conseil d'ami, ne supprimes pas ces 2 mastodontes sous peine de problèmes insolubles par la suite, sauf si tu es un expert

[ingoenius]

Salut,

 

conseil d'ami, ne supprimes pas ces 2 mastodontes sous peine de problèmes insolubles par la suite, sauf si tu es un expert

508540[/snapback]

 

DACCORD , tant qu'il mes causent pas des problemes de tout facon je ne les utilise plus

 

par contre j'ai aussi installe l'utilitaire trouvé ici (je me souviens pas du nom)

celui qui ferme toute les portes, mais j'ai un terrifiant message si je veut fermer toutes le portes, du tipe si tu fait cela tu ne pourras plus revenir en arriere......

 

donc je n'ai pas ose de tout fermer.......tu as des conseilles????

[Invité tesgaz]

tu parles de Zebprotect

 

pas de soucis, tu peux fermer les ports

[ingoenius]

tu parles de Zebprotect

 

pas de soucis, tu peux fermer les ports

508549[/snapback]

 

 

exact zebprotect,

c'est bizarre parce que deja 2 ou trois fois j'ai coche la case acces anonyme,

 

premiere a gauche danl le volet acces comptes

 

et..... au reboot de la machine je lance zeb protect et la case est decoche

 

c'est un probleme???, ce soir je vai cocher toute le cases!!

 

 

merci pour ton aide,

PS si tu as besoin d'aide au niveau creation 3d je serai la pour toi

Modifié le 26 mai 2005 par ingoenius