Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Dr mon rapport Hitjack se porte t-il bien ?


Messages recommandés

Posté(e) (modifié)

Par précaution mon rapport est il bon ? Les trucs avec le LocalHost je sais pas si c à supprimer :P

 

Logfile of HijackThis v1.99.1

Scan saved at 22:31:55, on 13/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS2\System32\smss.exe

C:\WINDOWS2\system32\winlogon.exe

C:\WINDOWS2\system32\services.exe

C:\WINDOWS2\system32\lsass.exe

C:\WINDOWS2\system32\svchost.exe

C:\WINDOWS2\System32\svchost.exe

C:\WINDOWS2\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS2\Explorer.EXE

C:\Program Files\clock\HParlante.exe

C:\Program Files\Arovax Shield\ArovaxShield.exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Program Files\ESET\nod32kui.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS2\system32\ZoneLabs\vsmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=127.0.0.1:1081;gopher=127.0.0.1:1081;http=127.0.0.1:1081;https=127.0.0.1:1081

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [Horloge Parlante ZMSoft] C:\Program Files\clock\HParlante.exe

O4 - HKLM\..\Run: [Arovax Shield] C:\Program Files\Arovax Shield\ArovaxShield.exe /h

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [WinServices] C:\Program Files\WinTools\WinServices\WinServices.exe

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Startup: Folding@Home 5.03.lnk = ?

O4 - Global Startup: NOD32 Control Center.lnk = C:\Program Files\ESET\nod32kui.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS2\System32\shdocvw.dll

O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)

O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)

O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)

O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)

O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 127.0.0.1

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 127.0.0.1

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 127.0.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 127.0.0.1

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS2\system32\ZoneLabs\vsmon.exe

Modifié par Diana

Posté(e)

Ben, Nod 32 semble avoir laissé passer celui-là :P :

 

Name: WinServices

Filename: WinServices.exe

Description: Added by the YAHA.K or YAHA.M WORMS!

File Location: Unknown

Startup Type: Currently being identified.

Posté(e)
Ben, Nod 32 semble avoir laissé passer celui-là :P  :

 

Name:  WinServices

Filename:  WinServices.exe

Description:  Added by the YAHA.K or YAHA.M WORMS!

File Location:  Unknown

Startup Type:  Currently being identified.

571321[/snapback]

 

C pas possible, c un soft qui scrute les services actifs,inactifs et supprimés, il est bien utile !

Posté(e) (modifié)

salut Méga,Diana

 

tiens un remover de chez Sophos pour cette cochonerie =>

Windows disinfector

 

YAHAGUI is a disinfector for standalone Windows computers

 

    * open YAHAGUI

    * run it

    * then click GO.

 

à télécharger ici

 

(fais la manip en mode sans echec de préférence).

 

Reposte un log hijack pour voir si ca marche

 

Plus d'infos sur ses effets sur la base de registre:

 

voir l'adresse donnée plus bas par Méga,c'est en francais :P

Modifié par charles ingals
Posté(e) (modifié)

Curieux car, le très sérieux site processlibrary donne l'info suivante :

 

http://www.processlibrary.com/directory/fi...vices/index.php

 

en cas de doute, tu peux utiliser le fix de Sophos :

 

http://www.sophos.fr/support/disinfection/yaharemove.html

 

edit : rapidos le Charles :P et consternée El Gato :P

Modifié par megataupe
Posté(e) (modifié)

Bonsoir,

C:\Program Files\WinTools\WinServices\WinServices.exe

 

wtp.gif

logiciel de http://www.wintools.net/

 

Effectivement trés bizard cette ressemblance avec

 

Copies itself as the following files and sets the attribute of the files to Hidden:

 

C:\%System%\WinServices.exe.

C:\Program Files\Common files\WinTools\WToolsA.e

 

solution désinfection: http://www.wilderssecurity.com/showthread....8285#post228285

http://www.sophos.com/virusinfo/analyses/w32sdbotaci.html

A+

Modifié par BipBip07
Posté(e)
hihi méga on a posté en même temps :P (pour une fois que je suis plus speed!)

 

Si doute il ya , le fichier douteux faire analyser chez jotti tu devras!=>

 

http://virusscan.jotti.org/

571334[/snapback]

 

serv3do.jpg

 

Donc pas de virus, c une application qui tourne dans ma barre de tâche.

 

Mais Bien vu Mégataupe, le virus porte le même nom ! :-P

 

Sympa ton site Charles Ingals, mais je me demande comment ils peuvent utilisé tous les antivirus :P

Posté(e) (modifié)
Fausse alerte donc, cool :P . Tu peux aussi faire analyser des fichiers douteux chez Kaspersky en personne :

 

http://www.kaspersky.com/remoteviruschk.html

571345[/snapback]

 

Ha! je savais pas, ya meme plus besoins d'avoir un antivirus now :P:P

 

C tout nouveau c truc, je connais évidemment le scan Online, ben voila ma base de connaissance remise à jour :-P Merci à toi :-(

Modifié par Diana

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...