[résolu]Analyse du log HijackThis

[ixtl]

Bonsoir ,

Jai un problème d'écran bleu sous xp pro qui semble être lié à la présence de swizzor.co sur mon ordi.

J'ai suivi toute la procédure donnée par Tesgaz (merci pour les précieuses infos) et j'ai obtenu le log suivant :

 

Logfile of HijackThis v1.99.1

Scan saved at 01:06:40, on 23/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Fichiers programmes\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL

O2 - BHO: (no name) - {9DD12386-0FC7-5396-D169-1A5228CEE633} - C:\DOCUME~1\BRIGITTE\APPLIC~1\SAVEBL~1\Mathcreative.exe

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll

O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [mmtask] g:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [WaveWebFilmSect] C:\Documents and Settings\All Users.WINDOWS\Application Data\Bash Sixth Wave Web\Soft stop.exe

O4 - HKLM\..\Run: [AWMON] "G:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.servicesalacarte.wanad...gamesplayer.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O17 - HKLM\System\CS2\Services\Tcpip\..\{23CF479B-FD73-429E-9B0A-9234561EB7CB}: NameServer = 80.10.246.1 80.10.246.132

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

Si quelqu'un peut m'expliquer ce que je dois faire maintenant.

 

Ma config est la suivante:

MSI K T4

512 Mo RAM

GeForce4 MX440

Muse lt 501

2 DD ( 40 et 80 Go)

modem ADL Bewan PCI

 

Ma fille a installé il y aun mois ou deux MSN Messenger7 et messenger +

 

Merci d'avance pour votre aide

[Thanos]

salut xtl, et bienvenue sur le forum,on va jetter un oeil là dessus!

 

dis moi c'est quoi ca ,tu connais?=>ADSLAutoconnect - Unknown owner

 

ca m'a l'air louche

[Thanos]

télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

 

Démarre en mode sans échec .

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

O2 - BHO: (no name) - {9DD12386-0FC7-5396-D169-1A5228CEE633} - C:\DOCUME~1\BRIGITTE\APPLIC~1\SAVEBL~1\Mathcreative.exe=>est ce que tu connais ce programme?sinon vire le .

 

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

 

et jette ca de ton pc:

 

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\PROGRA~1\Wanadoo\Watch.exe

 

O4 - HKLM\..\Run: [WaveWebFilmSect] C:\Documents and Settings\All Users.WINDOWS\Application Data\Bash Sixth Wave Web\Soft stop.exe=>est ce que tu connais?sinon vire le.

 

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe=>installe un sponsor indésirable. Si tu as téléchargé le sponsor,je te conseille de fixer cette ligne,virer le programme(Ajout/Suppression) et de le réinstaller sans le sponsor.

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

 

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.servicesalacarte.wanad...gamesplayer.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

 

Fais Fix Checked.

 

Passe un coup de" EasyCleaner" Inutiles et Registre seulement. Ne touche pas à la

 

fonction doublon.

 

redémarre et poste un nouveau log hijack

[Sacles]

Bonjour charles ingals, bonjour à tous et à toutes,

 

dis moi c'est quoi ca ,tu connais?=>ADSLAutoconnect - Unknown owner

 

ca m'a l'air louche

Non, non, ceci est tout à fait légitime. J'ai exactement la même ligne depuis des lustres. Sans doute un bug d'HiJackThis. Cette ligne est liée au logiciel ADSL AutoConnect.

 

ADSL Autoconnect est un logiciel qui permet de gérer sa connexion Internet ADSL ( http://www.adslautoconnect.net/ ).

 

Cordialement.

Modifié le 23 juillet 2005 par Sacles

[Invité Stonangel]

Bonjour, télécharge l'uninstall lop.com:

 

http://lop.com/toolbar_uninstall.exe

 

ou

 

http://lop.com/new_uninstall.exe

 

Attention ton antivirus risque de se déclencher. Récupère le dossier compressé et lance l'utilitaire.

 

Redémarre.

 

Poste un nouveau rapport Hijackthis en mode sans échec.

[Thanos]

salut ixtl,Stonangel,Sacles

 

Non, non, ceci est tout à fait légitime. J'ai exactement la même ligne depuis des lustres. Sans doute un bug d'HiJackThis. Cette ligne est liée au logiciel ADSL AutoConnect.

Merci pour ta précision saclès,je voulais en être sûr!j'ai découvert qu'il était légitime

 

apres recherche,j'aurais dû modifier

[ixtl]

Bonjour, télécharge l'uninstall lop.com:

 

http://lop.com/toolbar_uninstall.exe

 

ou

 

http://lop.com/new_uninstall.exe

 

Attention ton antivirus risque de se déclencher. Récupère le dossier compressé et lance l'utilitaire.

 

Redémarre.

 

Poste un nouveau rapport Hijackthis en mode sans échec.

539993[/snapback]

 

 

Bonjour,

 

j'ai tenté de télécharger les deux et effectivement antivir m'a refusé l'accès au fichiet (virus swizzzor ck) et a effacé le fichier.

Dois je désactiver antivi ou simplement lcocher "deny acces" ou "ne rien faire"

[Thanos]

re ixtl

 

s'il s'affole,coche"ne rien faire", où désactive le le temps de télécharger lop!

[Invité Stonangel]

Essaie une des trois et récupère le dossier...

[ipl_001]

Bonjour ixtl, Stonangel, charles ingals, sacles, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Non, non, ceci est tout à fait légitime. J'ai exactement la même ligne depuis des lustres. Sans doute un bug d'HiJackThis. Cette ligne est liée au logiciel ADSL AutoConnect.

je ne comprends pas pourquoi tu penses qu'HijackThis a un bug ! parce qu'il liste la ligne ? parce qu'il affiche "unknown oxner" ?

 

Que faire avec ADSLautoconnect ?

 

    * Lancer sa connexion ADSL directement au démarage de Windows.

    * Reconnexion automatique lors des déconnexions habituelles ou imtempestives.

    * Envoi automatique d'un e-mail contenant la nouvelle adresse IP lors du changement d'IP.

    * Envoi automatique d'un fichier contenant la nouvelle adresse IP sur un serveur FTP.

    * Réinitialisation de la connexion à intervalles choisis.

    * Affichage des taux de transfert en envoi et en réception.

(source : http://www.adslautoconnect.net/ )