suite du post de roro06 a angélique

roro06 · le 3 septembre 2005

Logfile of HijackThis v1.99.1

Scan saved at 00:55:30, on 04/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

E:\word\OFFICE11\EXCEL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AVPersonal\AVSched32.EXE

E:\programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe

O4 - HKLM\..\Run: [sp2protect] C:\WINDOWS\system32\sp2protect.exe

O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\udupdate.exe

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P] C:\WINDOWS\system32\Battlefield2 .exe

O4 - HKLM\..\Run: [AutoLoaderpwxt1ZTjJJLV] "C:\WINDOWS\system32\gpkrazhc.exe" /PC="CP.IST" /ShowLegalNote="nonbranded" /UninstallName="CtxPls"

O4 - HKLM\..\Run: [p3ER3tO] gpkrazhc.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Y0x5RjipS] getnv.exe

O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\system32\sp2protect.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\word\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\word\OFFICE11\REFIEBAR.DLL

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

le 3 septembre 2005

Bonsoir, je regarde ton rapport, réponse dans un moment. Tu as deux antivirus désinstalles en un.

le 3 septembre 2005

Re, télécharge EasyCleaner de Toni Helenius

http://personal.inet.fi/business/toniarts/ecleane.htm

Démarre en mode sans échec (F8 ou F5)

Assure toi d'avoir accès à tous les fichiers.

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

O4 - HKLM\..\Run: [sp2protect] C:\WINDOWS\system32\sp2protect.exe

O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\udupdate.exe

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\WINDOWS\system32\Battlefield2 .exe

O4 - HKLM\..\Run: [AutoLoaderpwxt1ZTjJJLV] "C:\WINDOWS\system32\gpkrazhc.exe" /PC="CP.IST" /ShowLegalNote="nonbranded" /UninstallName="CtxPls"

O4 - HKLM\..\Run: [p3ER3tO] gpkrazhc.exe

O4 - HKCU\..\Run: [Y0x5RjipS] getnv.exe

O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\system32\sp2protect.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\sp2protect.exe

C:\WINDOWS\system32\udupdate.exe

C:\WINDOWS\system32\Battlefield2 .exe

C:\WINDOWS\system32\gpkrazhc.exe

gpkrazhc.exe< utilise la fonction rechercher, localisation probable System32

getnv.exe<idem

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

Exécute EasyCleaner Inutiles et Registre seulement. Ne pas toucher à la fonction doublon.

Redémarre et poste un nouveau rapport Hijackthis effectué en mode sans échec pour vérification.

angelique · le 3 septembre 2005

Tu utilises antivir en resident antivirus+parefeu du sp2???car je vois kapersky comme anti virus???------->O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

ensuite je vois des ligne suspect ds ton rapport:

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P] C:\WINDOWS\system32\Battlefield2 .exe------------>ça n'a rien à faire là!!!

O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe------>tu utilises powerstrip comme logiciel???je ne sais pas à quoi il sert!!!

O4 - HKLM\..\Run: [AutoLoaderpwxt1ZTjJJLV] "C:\WINDOWS\system32\gpkrazhc.exe" /PC="CP.IST" /ShowLegalNote="nonbranded" /UninstallName="CtxPl--------->saloperie je pense

O4 - HKLM\..\Run: [p3ER3tO] gpkrazhc.exe------>>cochonnerie

O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe-------->acegain??log à toi??update auto au démarrage.

O4 - HKCU\..\Run: [Y0x5RjipS] getnv.exe------>ça aussi je trouve que ça pue

O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\system32\sp2protect.exe--------->parefeu windows xp sp2???????je sais pas!!

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecal...cab--->scan en ligne anti virus,activex chargé,peut etre chez www.secuser.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=364...09------>la maj de xp sp2 du genuine advantage pour identifier ton xp chez microsoft

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}------>c'est 4 là idem,scan chez symantec et panda,active x chargé.

Si tu fixes ces lignes:

O4 - HKLM\..\Run: [AutoLoaderpwxt1ZTjJJLV] "C:\WINDOWS\system32\gpkrazhc.exe" /PC="CP.IST" /ShowLegalNote="nonbranded" /UninstallName="CtxPl--------->saloperie je pense

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P] C:\WINDOWS\system32\Battlefield2 .exe------------>ça n'a rien à faire là!!!

faut rechercher apres avoir fixé le .exe en system32 s'il existe tjrs.

puis passer un coup de easycleaner,inutiles et registre uniquement(surtout pas la fonction doublon):

http://telechargement.zebulon.fr/147-easycleaner.html

et un coup de jv16--->les clés verte uniquement:

http://telechargement.zebulon.fr/201-jv16-powertools.html

j'arrive à identifier des trucs suspect,mais je ne voudrais surtout pas d'induire en erreur,c'est pour ça que je ne fais pas de hijack sur le forum.

ipl,megataupe ou stonangel st les chefs,et feront un plaisir de confirmer et de rajouter des trucs.

bon courage

bah,voilà,trop tard!!!!un chef est deja arrivé!!dsl stonangel

Modifié le 3 septembre 2005 par angelique

le 3 septembre 2005

Salut angelique si tu veux j'édite

angelique · le 4 septembre 2005

comme tu veux^^,ok,toute façon j'avais oubliée:

O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\udupdate.exe

et le sp2 protect que je connaissais pas!!----->>dupée par le fire du sp2,mais tout de meme un doute un gros meme!!

J'apprend tjrs avec toi stonangel ,et j'essaie de rendre service au mieux.

Au plaisir,stonangel,et bonne continuation.

Modifié le 4 septembre 2005 par angelique

julkien · le 4 septembre 2005

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P] C:\WINDOWS\system32\Battlefield2 .exe

no coment...

roro06 · le 5 septembre 2005

merci a stonangel et angelique pour les conseils

comme demandé je renvoi mon rapport hijack

Logfile of HijackThis v1.99.1

Scan saved at 10:08:30, on 05/09/2005