Analyse du log HijackThis , Merci de l aide.

[Julie88]

Salutations a tous et a toutes ! Voila mon log :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:28:59, on 24/08/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\Aprps\plg0\cxtpls.dll

O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll

O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\FICHIE~1\Real\Toolbar\realbar.dll

O2 - BHO: (no name) - {86D08932-7CEF-ADB6-F577-D0381E04B78F} - C:\DOCUME~1\Mathieu\APPLIC~1\SEEKCL~1\Litenew.exe (file missing)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\FICHIE~1\Real\Toolbar\realbar.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam Camera\VProperty.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [bootWarn] C:\Program Files\Norton AntiVirus\BootWarn.exe /a

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [sssasasb32] C:\WINDOWS\sssasasb32.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [name mags bike extra] C:\Documents and Settings\All Users\Application Data\Knob default name mags\closeford.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe

O4 - HKLM\..\Run: [esejsq] c:\windows\system32\esejsq.exe

O4 - HKLM\..\Run: [enuuonf] c:\windows\system32\jaqnsk.exe r

O4 - HKLM\..\Run: [Configuration Loader] lttime.exe

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"

O4 - HKLM\..\Run: [AutoLoader0s521NLUMWXX] "C:\WINDOWS\System32\ahuntui.exe" /PC="PLUS1" /HideUninstall /HideDir

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [0Fmk33W] hotgwrbk.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [Configuration Loader] lttime.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion....ebio5_1_6_0.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

 

 

 

J espere qu il n y a plus de menaces , sinon merci de votre aide !

[Invité tesgaz]

J espere qu il n y a plus de menaces , sinon merci de votre aide !

 

salut,

 

malheureusement il en reste pas mal

 

bon tu vas cocher tout ca en mode sans echec

 

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\Aprps\plg0\cxtpls.dll

O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL

 

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll

O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\FICHIE~1\Real\Toolbar\realbar.dll

O2 - BHO: (no name) - {86D08932-7CEF-ADB6-F577-D0381E04B78F} - C:\DOCUME~1\Mathieu\APPLIC~1\SEEKCL~1\Litenew.exe (file missing)

 

O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\FICHIE~1\Real\Toolbar\realbar.dll

 

 

O4 - HKLM\..\Run: [sssasasb32] C:\WINDOWS\sssasasb32.exe

O4 - HKLM\..\Run: [name mags bike extra] C:\Documents and Settings\All Users\Application Data\Knob default name mags\closeford.exe

 

O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe

O4 - HKLM\..\Run: [esejsq] c:\windows\system32\esejsq.exe

O4 - HKLM\..\Run: [enuuonf] c:\windows\system32\jaqnsk.exe r

O4 - HKLM\..\Run: [Configuration Loader] lttime.exe

O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"

O4 - HKLM\..\Run: [AutoLoader0s521NLUMWXX] "C:\WINDOWS\System32\ahuntui.exe" /PC="PLUS1" /HideUninstall /HideDir

O4 - HKLM\..\Run: [0Fmk33W] hotgwrbk.exe

 

O4 - HKLM\..\RunServices: [Configuration Loader] lttime.exe

 

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

 

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion....ebio5_1_6_0.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

 

 

ensuite, tu vas dans l'explorateur et tu supprimes ces fichier ou dossiers :

 

C:\Program Files\Aprps\ << le dossier

C:\PROGRA~1\PERFEC~1\ << le dossier

C:\WINDOWS\Bolger.dll << le fichier

C:\PROGRA~1\FICHIE~1\Real\ << le dossier

C:\DOCUME~1\Mathieu\APPLIC~1\SEEKCL~1\ << le dossier

C:\Documents and Settings\All Users\Application Data\Knob default name mags\ << le dossier

C:\WINDOWS\sssasasb32.exe << le fichier

C:\WINDOWS\farmmext.exe << le fichier

c:\windows\system32\esejsq.exe << le fichier

c:\windows\system32\jaqnsk.exe << le fichier

lttime.exe

C:\Program Files\AutoUpdate\ << le dossier

C:\WINDOWS\System32\ahuntui.exe << le fichier

hotgwrbk.exe << le fichier

 

voila, tu redémarres et tu repostes un rapport

[ipl_001]

Bonsoir Julie88, tesgaz, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

Mon post parce que j'estime mon rôle de t'accueillir parmi nous !

 

Félicitations pour avoir bien employé notre procédure et avoir posté le rapport HijackThis en mode sans échec avec HJT bien installé !

 

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Certes tesgaz te le dira lorsque tout sera nettoyé dans ton système et t'apprendra à te prémunir de tous ces dangers mais ton système n'est vraiment pas à jour et propose un vrai boulevard aux malwares de tous poils !

[Julie88]

Salut,

 

Alors voici le new log :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:51:04, on 25/08/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\yuouui.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam Camera\VProperty.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [bootWarn] C:\Program Files\Norton AntiVirus\BootWarn.exe /a

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [cxjlco] C:\WINDOWS\System32\yuouui.exe r

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

 

 

Ensuite dans ce que je devait cocher je n ia pas trouver les elements suivants :

 

O4 - HKLM\..\Run: [enuuonf] c:\windows\system32\jaqnsk.exe r

C:\WINDOWS\Bolger.dll << le fichier

C:\DOCUME~1\Mathieu\APPLIC~1\SEEKCL~1\ << le dossier

C:\WINDOWS\sssasasb32.exe << le fichier

C:\WINDOWS\farmmext.exe << le fichier

c:\windows\system32\esejsq.exe << le fichier

c:\windows\system32\jaqnsk.exe << le fichier

lttime.exe

et au lieu d avoir C:\WINDOWS\System32\ahuntui.exe j ai ahunui.exe

[Julie88]

ET pour repondre a Ipl , a propos de ,on systeme qui n est pas a jour , je voulais signaler que je n arriva pas a installer le service pack 2 car d apre microsoft il y aurait un autre systeme enregistre avec ma cle cd ... Et j ai aussi un autre probleme du au Trojan je n ai plus mes images dans ma session ( fichier personnel ) et il mes reste tres peu de chansons ( une dizaine sur mille ... ). Voila merci de votre aide !

 

 

Bizoux

[ipl_001]

Bonsoir Julie88, tesgaz, bonsoir à tous,

 

Ensuite dans ce que je devait cocher je n ia pas trouver les elements suivants :

 

O4 - HKLM\..\Run: [enuuonf] c:\windows\system32\jaqnsk.exe r

C:\WINDOWS\Bolger.dll << le fichier

C:\DOCUME~1\Mathieu\APPLIC~1\SEEKCL~1\ << le dossier

C:\WINDOWS\sssasasb32.exe << le fichier

C:\WINDOWS\farmmext.exe << le fichier

c:\windows\system32\esejsq.exe << le fichier

c:\windows\system32\jaqnsk.exe << le fichier

lttime.exe

et au lieu d avoir C:\WINDOWS\System32\ahuntui.exe j ai ahunui.exe

Quelques explications possibles :

 

- as-tu affiché tous tes fichiers par :

Depuis l'explorateur de Windows :

- Outils / Option des dossiers / onglet Affichage

- cocher "Afficher les fichiers et dossiers cachés"

- décocher "Masquer les extensions des fichiers dont le type est connu"

- décocher "Masquer les fichiers protégés du système d'exploitation"

- OK

(en fin de traitement, lorsque le système sera bien propre, il faudra revenir et rétablir les choses sauf pour les extensions de fichier)

- parfois tesgaz a pris des précautions en mettant en doute l'affichage selon lequel les fichiers ne seraient plus sur le disque comme :

O2 - BHO: (no name) - {86D08932-7CEF-ADB6-F577-D0381E04B78F} - C:\DOCUME~1\Mathieu\APPLIC~1\SEEKCL~1\Litenew.exe (file missing)

Voila donc une raison pour n epas avoir trouvé C:\DOCUME~1\Mathieu\APPLIC~1\SEEKCL~1\

 

- certains malwares, particulièrement vicieux -et nail en est un-, modifient les noms et en redémarrant, on ne trouve plus les fichiers recherchés !

[ipl_001]

Rebonsoir Julie88, tesgaz, rebonsoir à tous,

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

 

As-tu effectué ton dernier rapport HijackThis en mode sans échec ?

Je te pose cette question car la présence de C:\WINDOWS\System32\yuouui.exe parmi les processus m'inquièterait !

[ipl_001]

Rebonsoir Julie88, tesgaz, rebonsoir à tous,

 

Avant de parler de ton rapport HJT, je te fais appliquer la procédure que nous a donnée CalamityJane sur Gladiator :

(je n'ai fait qu'une toute petite adaptation pour respecter sa procédure ; bien sûr, CJ n'a pas vu ton rapport, sinon, elle aurait ajouté des éléments à fixer comme je l'ai fait dans le post suivant)

Aurora/Nail fix

(par racooper avec SwanDog46 & miekiemoes)

 

S'IL TE PLAIT, LIS ET SUIT SOIGNEUSEMENT CES DIRECTIVES ; TU POURRAIS PEUT-ETRE IMPRIMER OU SAUVEGARDER CES INSTRUCTIONS LOCALEMENT AVANT DE DEMARRER.

 

1. S'il te plaît, télécharge, installe et mets à jour la version gratuite d'Ewido Security Suite ( http://www.ewido.net/en/download/ ) :

 

  1. Quand tu lances Ewido la première fois, il se peut que tu aies un avertissement "La base de données n'a pas être trouvée !". Clique sur OK. Nous corrigerons ceci dans un moment.

  2. A partir de l'écran principal d'ewido, clique sur "mise à jour" dans le menu de gauche puis clique sur le bouton "Démarrer la mise à jour".

  3. Lorsque la mise à jour est terminée (la barre d'état en bas affichera "Mise à jour  réussie")

  4. Quitte Ewido. NE LANCE PAS LE SCAN maintenant.

 

Télécharge CCleaner ( http://www.ccleaner.com/ccdownload.asp ) et installe le mais ne le lance pas maintenant.

 

2. S'il te plaît, télécharge cet installeur révisé de l'antidote Nailfix ( http://www.noidea.us/easyfile/file.php?dow...050711214630636 ).

NE LE LANCE PAS maintenant.

Autres liens de téléchargement ci-dessous :

http://www.spywareedge.net/nf/nailfix.exe

http://www.spywareaid.com/index.php?file=s...22&softtype=exe

 

3. Redémarre en mode sans échec

Comment démarrer l'ordinateur en mode sans échec :

http://service1.symantec.com/SUPPORT/tsgen...src=sec_doc_nam

 

4. Une fois en mode sans échec, s'il te plaît double-clique sur nailfix.exe. Clique "Next" dans setup, puis assure-toi que "Run Nailfix" est coché et clique sur "Finish". Ton bureau et ses icônes disparaitrons et réapparaitrons et une fenêtre devrait s'ouvrir et se fermer très rapidement --- ceci est normal.

 

5. Ensuite, relance Ewido.

 

  1. Clique sur le bouton "Scanner" dans le menu de gauche, puis clique sur "Scan complet du système". Ce scan peut prendre un bon moment.

  2. Si Ewido trouve quelque chose, il affichera une notification. Nous avons trouvé quelques cas de faux positifs avec la nouvelle version d'Ewido, aussi nous avons besoin de vérifier les corrections une par une. Si Ewido trouve quelque chose que tu SAIS légitime (par exemple, des éléments de AVG Antivirus, AOL, pcAnywhere et le jeu "Risk" ont été repérés), sélectionne "Aucun" comme action. NE COCHE PAS "Effectuer cette action avec toutes les infections". Si tu n'es pas sûr de la donnée, sélectionne "aucune" pour le moment. Nous verrons cela dans le log que tu vas poster plus tard et nous te ferons savoir si Ewido doit être relancé.

  3. Quand le scan est terminé, clique sur "Sauver le rapport". Ceci va créer un fichier texte. Assure-toi de savoir où retrouver ce fichier.

 

Puis lance HijackThis, clique sur Scan et coche les éléments suivants (si trouvés) :

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [random] c:\windows\system32\random.exe r

(adaptation ipl_001 O4 - HKLM\..\Run: [cxjlco] C:\WINDOWS\System32\yuouui.exe r)

 

Ferme toutes les fenêtres ouvertes à l'exception de HijackThis et clique sur Fix Checked. Note que la ligne O4 peut avoir un nom changé si tu as rebooté après avoir posté le log ; recherche une entrée avec un format similaire, qui aura toujours une lettre "r".

 

Repère et supprime le fichier suivant en GRAS :

c:\windows\system32\random.exe (ou ce en quoi le nom a pu être changé, comme dit ci-dessus).

 

6. Maintenant, lance CCleaner.

 

  1. Décoche "Cookies" sous "Internet Explorer".

  2. Si tu utilises Firefox : clique sur l'onglet "Applications" et décoche "Cookies" sous "Firefox".

  3. Clique sur Run Cleaner dans le coin en bas à droite. Ceci peut prendre un bon moment.

 

Finallement, redémarre ton ordinateur en mode normal et, s'il te plaît, poste un nouveau rapport HijackThis, en même temps que le log d'Ewido.

 

7. S'il te plaît, lancez une nouvelle discussion si tu as besoin d'aide. Ne postez pas dans la discussion de quelqu'un d'autre.

 

Merci !

 

Edité pour la nouvelle version de Nailfix du 22 Juillet 2005

 

Voici la manière de poster de CalamityJane... je vous fais remarquer les détails donnés et la parfaite politesse, le parfait respect de l'utilisateur !

Je reporte cette procédure dans l'article épinglé "-=Ressources=-"

 

Merci Janie !

[ipl_001]

Rebonsoir Julie88, tesgaz, rebonsoir à tous,

 

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

-3- Redémarre l'ordinateur en mode sans échec.

 

-4- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- Messenger Plus

--- CMEII ou CMEsys

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

-5- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

 

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

 

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [cxjlco] C:\WINDOWS\System32\yuouui.exe r

 

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

 

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

 

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

-6- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

-7- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\WINDOWS\Nail.exe

--- C:\WINDOWS\System32\yuouui.exe

--- C:\Program Files\Messenger Plus! 3 (supprime le dossier)

--- C:\Program Files\Fichiers communs\CMEII (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

-8- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

-9- Qu'en est-il des dysfonctionnements ?

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !