Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

wismerhill

Scan pour un pote

Messages recommandés

Salut à tous, j'ai pratiqué pour un pote une désinfection par procédure ewido et Antivir, j'ai cleané la base avec regseeker... reste plus qu'un petit log hijack si qqn voulait bien me dire que virer ou pas :P

 

Voilà le log en mode sans échec

 

Logfile of HijackThis v1.99.1

Scan saved at 14:22:20, on 29/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fbtpgrdwnugbvxnavrdxq.org/arxW4...FFXsd7ZUjk.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.omtvtiityenzhekb.net/arxW4lzDq6...tIY7f52PqYA.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {0A795CE6-E0F4-1882-0C1A-8EFE682A9410} - (no file)

O2 - BHO: (no name) - {51BAA940-7D2A-1CDA-5A23-9518ACFF0CDC} - C:\DOCUME~1\Yann\APPLIC~1\KNOBRE~1\titlelite.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe

O4 - HKLM\..\Run: [CloseSoftIntraShow] C:\Documents and Settings\All Users\Application Data\Remote bind close soft\EggsMpeg.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [RegProt] c:\documents and settings\yann\bureau\regprot\regprot.exe /start

O4 - HKCU\..\Run: [About Slow] C:\DOCUME~1\Yann\APPLIC~1\GRAMAC~1\bendmpegsupport.exe

O4 - HKCU\..\RunOnce: [__GSCAdditionalInstallation__] "H:\Cossacks2Setup.exe" -AdditionalInstall

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5E55DCF6-3AD1-44AC-AF7D-78AB96EDA4C7}: Domain = crous-fontenay.local

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

merci à tous et à toute

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour wismerhill

 

c est un rapport pour optimiser n est ce pas? si c est le cas il y a effectivement bcp de lignes a fixer. a part ca je ne vois rien d infectueux sur ce rapport.

 

je ne vois aucune trace de firewall, ton ami devrait en installer un, regarde dans "les consignes de sécurité" en bas pres de ma signature, vous en trouverez 3 gratuits et performants avec des tuto pour les configurer

Modifié par Jack_Burton

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut Jack, oui c'est un chti coup d'optim, sans toute fois aller juqu'à desactiver des services windows (j'ai déjà désactivé ceux qui ne servent VRAIMENT A RIEN)

 

Donc oui un chti coup d'optim...

 

Va y ... fais ton office :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Hop Hop Hop il y as infection par lop.com dans ce rapport !

cocher:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fbtpgrdwnugbvxnavrdxq.org/arxW4...FFXsd7ZUjk.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.omtvtiityenzhekb.net/arxW4lzDq6...tIY7f52PqYA.htm

O2 - BHO: (no name) - {0A795CE6-E0F4-1882-0C1A-8EFE682A9410} - (no file)

O2 - BHO: (no name) - {51BAA940-7D2A-1CDA-5A23-9518ACFF0CDC} - C:\DOCUME~1\Yann\APPLIC~1\KNOBRE~1\titlelite.exe

O4 - HKLM\..\Run: [CloseSoftIntraShow] C:\Documents and Settings\All Users\Application Data\Remote bind close soft\EggsMpeg.exe

O4 - HKCU\..\Run: [About Slow] C:\DOCUME~1\Yann\APPLIC~1\GRAMAC~1\bendmpegsupport.exe

 

fixer,

redémarrer,

supprimer:

C:\DOCUME~1\Yann\APPLIC~1\KNOBRE~1\titlelite.exe

C:\Documents and Settings\All Users\Application Data\Remote bind close soft\EggsMpeg.exe

C:\DOCUME~1\Yann\APPLIC~1\GRAMAC~1\bendmpegsupport.exe

 

puis remettre un rappprot HJT

A suivre

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

1/ tu peux fixer ces lignes alors :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fbtpgrdwnugbvxnavrdxq.org/arxW4...FFXsd7ZUjk.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {51BAA940-7D2A-1CDA-5A23-9518ACFF0CDC} - C:\DOCUME~1\Yann\APPLIC~1\KNOBRE~1\titlelite.exe

O2 - BHO: (no name) - {0A795CE6-E0F4-1882-0C1A-8EFE682A9410} - (no file)

 

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe

O4 - HKCU\..\RunOnce: [__GSCAdditionalInstallation__] "H:\Cossacks2Setup.exe" -AdditionalInstall

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

 

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

 

Voila ce que tu peux fixer en premier lieu.

 

2/ Cependant si ton ami installe un navigateur alternatif tel que firefox ou opera il pourra désinstaller la yahootoolbar qui lui sera inutile par la suite car ces fonctions sont intégrées dans ces navigateurs.

S il opte pour un de ces navigateurs il pourra rajouter ces lignes a fixer :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.omtvtiityenzhekb.net/arxW4lzDq6...tIY7f52PqYA.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

 

3/ il peut également fixer ces lignes s il ne voit pas l utilité a ce que ce programme se lance au démarrage :

 

O4 - HKCU\..\Run: [About Slow] C:\DOCUME~1\Yann\APPLIC~1\GRAMAC~1\bendmpegsupport.exe

 

Edit, il faut savoir qu optimiser son systeme signifie la perte de certains menus contextuels de Internet Explorer ou de certains raccourcis dans les barres des taches, que certains programmes ne se lanceront plus au démarrage comme auparavant.

Si le résultat ne lui convient pas il pourra remettre ces lignes fixées car hijackthis fait des sauvegardes de toutes lignes enlevées. Ces sauvegardes sont dans un dossier "backups"

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut...désolé pour le retard...merci des réponses

Voici le log sans échec apres fixation

 

Logfile of HijackThis v1.99.1

Scan saved at 15:28:28, on 30/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ywqojezwkvprcfbthpyb.com/arxW4lzDq6...FFXsd7ZUjk.html

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [CloseSoftIntraShow] C:\Documents and Settings\All Users\Application Data\Remote bind close soft\EggsMpeg.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [RegProt] c:\documents and settings\yann\bureau\regprot\regprot.exe /start

O4 - HKCU\..\Run: [About Slow] C:\DOCUME~1\Yann\APPLIC~1\GRAMAC~1\bendmpegsupport.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{5E55DCF6-3AD1-44AC-AF7D-78AB96EDA4C7}: Domain = crous-fontenay.local

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

Voili voilou merci à vous deux

Partager ce message


Lien à poster
Partager sur d’autres sites

salut,

 

Concernant cette ligne O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon . Il s'agit du "Synchronisation Manager" qui peut être présent après l'installation du SP2 de Windows 2000. Pour le supprimer, allez dans Démarrer, Exécuter... et tapez ceci : regsvr32 /u mobsync.dll.

 

Avez vous pris en considération l analyse de BipBip??

Personnellement, je n avais rien vu, je n aurais pas imaginé que cela soit un virus comme le prétend BipBip surtout en voyant l emplacement des dossiers en question:

 

C:\DOCUME~1\Yann\APPLIC~1\KNOBRE~1\titlelite.exe

C:\Documents and Settings\All Users\Application Data\Remote bind close soft\EggsMpeg.exe

C:\DOCUME~1\Yann\APPLIC~1\GRAMAC~1\bendmpegsupport.exe

 

Je n ai jamais eu affaire a lop.com donc je ne l avais pas remarqué mais si BipBip affirme qu il s agit d un malware vous devriez suivre son conseil et sa procédure.

Modifié par Jack_Burton

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×