[résolu]mon rapport hijackthis (help plz :( )

[Jack_Burton]

Bonjour

 

Apres une bonne nuit de sommeil j ai les idées claires Je tenais d ailleurs a m excuser pour mes erreurs grossieres d hier. Cela n arrivera plus, c est pour cette raison que je ne ferais plus d analyses a partir de 22h00, la fatigue cumulée, le nombre de rapports effectués dans la journée me rendent beaucoup moins vigilant.

 

J analyse ton rapport donnie, réponse dans un petit moment

Modifié le 22 septembre 2005 par Jack_Burton

[Jack_Burton]

Re,

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec. C'est essentiel pour supprimer certains fichiers

 

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Désinstalle le programme suivant Catcher Module via "panneau de configuration/suppression de programmes"

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O2 - BHO: (no name) - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - (no file)

O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Program Files\DNS\Catcher.dll

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [system service69] C:\WINDOWS\etb\pokapoka69.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-58-12-0000133.exe

O4 - HKCU\..\Run: [DNS] C:\Program Files\Fichiers communs\mc-58-12-0000133.exe

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c32.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsIns....cab?refid=2117

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

 

-C:\Program Files\DNS<--- supprime tout le dossier

-C:\WINDOWS\etb<--- supprime tout le dossier

-C:\Program Files\Fichiers communs\Windows\<--supprime tout le dossier, ce n est pas un dossier légitime de windows, 2 trojans ont pris la place dedans mc-58-12-0000133.exe et services32.exe

-C:\Program Files\Fichiers communs\mc-58-12-0000133.exe<--supprime ce fichier

-C:\Program Files\Fichiers communs\services.exe<--- supprime le fichier

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié le 22 septembre 2005 par Jack_Burton

[donnie]

Merci Jack,

 

je test ça demain soir, car je suis au taf la.

 

[Jack_Burton]

Bonjour Donnie

 

Pas de probleme, tu as tout le temps et NOUS zebuloniens avons tout notre temps pour t aider. Il y aura toujours quelqu un pour te guider.

Bonne journée Donnie

Modifié le 22 septembre 2005 par Jack_Burton

[donnie]

Finalement j'ai eu un peu de temps ce soir pour faire les manips.

 

- j'ai pas trouvé de programme Catcher Module dans "ajout/suppression de programmes"

 

J'ai démarré en mode sans échec, fais un scan antivir complet, puis supprimé les entrées que Jack m'a donné.

 

J'ai ensuite utilisé le programme EasyCleaner, avec les 2 fonctions "inutiles" et "registres".

 

Enfin j'ai fait un log hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 01:50:40, on 01/01/2002

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\sstray.exe

C:\WINDOWS\System32\scvhost.exe

C:\WINDOWS\System32\winamp.exe

C:\dsonic.exe

C:\WINDOWS\System32\firewall.exe

C:\WINDOWS\etb\pokapoka69.exe

C:\Documents and Settings\donnie\bleh.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\System32\netddesrv.exe

C:\WINDOWS\system32\grxiio.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\bleh.exe

C:\Documents and Settings\donnie\Bureau\HijackThis.exe

C:\Program Files\Mozilla Firefox\firefox.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [REGRUN] C:\dsonic.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [system service69] C:\WINDOWS\etb\pokapoka69.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

Je remarque que pokapoka69.exe revient tout seul à chaque fois. Sinon au démarrage j'ai eu une fenêtre dos qui s'est lancé, et une fenêtre IE qui s'est lancée avec un site xxx.

 

A demain

Modifié le 22 septembre 2005 par donnie

[Jack_Burton]

Tu es sur d avoir fait tout ce que j ai dit???

Moi je ne pense pas. Je ne t ai jamais demandé de faire un scan antivir.

Faut suivre la procédure comme elle était indiquée !!!

 

Maintenant tu as de nouveaux trojans qui n y étaient pas avant...

Modifié le 22 septembre 2005 par Jack_Burton

[Jack_Burton]

Bon cette fois applique vraiment la procédure je te prie

 

1/ Redémarre en mode sans échec.

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [REGRUN] C:\dsonic.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [system service69] C:\WINDOWS\etb\pokapoka69.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

 

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

C:\WINDOWS\System32\scvhost.exe

C:\WINDOWS\System32\winamp.exe

C:\dsonic.exe

C:\WINDOWS\System32\firewall.exe

C:\WINDOWS\etb<--- supprime tout le dossier

C:\Documents and Settings\donnie\bleh.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\System32\netddesrv.exe

C:\WINDOWS\system32\grxiio.exe

C:\WINDOWS\system32\bleh.exe

 

5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié le 22 septembre 2005 par Jack_Burton

[Invité Diana]

Bonsoir Jack, donnie,

 

As tu un firewall d'installé ?

 

car si on fait le nettoyage et que tu n'est pas protégé, bien ça ne sert à rien !

Modifié le 22 septembre 2005 par Diana

[megataupe]

Bonsoir Diana . Si ce n'était que le firewall, c'est déjà pas mal mais il y a le reste :

 

Logfile of HijackThis v1.99.1

Scan saved at 01:50:40, on 01/01/2002

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

[Jack_Burton]

Bonsoir Diana

 

Re coucou megataupe

 

C:\Program Files\Mozilla Firefox\firefox.exe

 

Y a Firefox c est déja ca