rapport hijackthis pour verification

[Jack_Burton]

Salut,

 

Je ne vois rien d infectueux a part une ligne indéterminée :

 

O4 - HKLM\..\Run: [gampyrjh] c:\windows\system32\gampyrjh.exe -start

 

Peux tu faire un scan avec le virusscan de jotti de ce fichier :

c:\windows\system32\gampyrjh.exe

 

Tu peux également fixer ces lignes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

 

O16 - DPF: {A1C392A2-B274-46DB-89BE-1FBD476B9C93} - http://scripts.downloadv3.com/binaries/EGD...ESS_1065_XP.cab

 

Il y a encore des lignes superflues mais on verra ca plus tard.

Modifié le 3 octobre 2005 par Jack_Burton

[kik1521]

voici le rapport de jotti

Jotti's malware scan 2.99-TRANSITION_TO_3.00   File to upload & scan:     Parcourir... Submit Service Service load: 0%     100% File: gampyrjh.exe Status: INFECTED/MALWARE MD5 073c83bed3431dc1f4eaeb44dd57a969 Packers detected: YODAPROTECT Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.NaviPromo.i NOD32 Found a variant of Win32/Adware.NaviPromo application Norman Virus Control Found nothing UNA Found nothing VBA32 Found nothing   Powered by

Page 1 sur

Online malware scan

[Jack_Burton]

Re,

 

Ton fichier est vraiment inconnu au bataillon, d apres le virusscan de jotti il pourrait s agir d un malware.

 

Dans le doute voila ce que l on va faire :

Tu vas scanner ce fichier c:\windows\system32\gampyrjh.exe avec Kapersky.

 

Ensuite tu vas démarrer en mode sans échec puis renomme ce fichier (clic droit sur le nom de fichier / renommer) en gampyrjh-exe.anc afin de le rendre inactif. Si tout est bon dans 2 jours,si tu ne rencontres aucun probleme tu pourras le supprimer.

Modifié le 3 octobre 2005 par Jack_Burton

[kik1521]

Scanner antivirus

 

Attention!

Kaspersky Anti-Virus a détecté un virus dans le fichier que vous avez soumis au scanneur.

 

Nous vous proposons les options suivantes:

 

Consulter notre Encyclopédie des Virus (disponible uniquement en anglais et en russe)

 

Télécharger une version d'évaluation de Kaspersky Anti-Virus

 

Acheter une version de Kaspersky Anti-Virus dans notre E-Store

 

Acheter Kaspersky Anti-Virus auprès d'un de nos partenaires agréés

 

 

Objet actuel : gampyrjh.exe

 

gampyrjh.exe Infectés: not-a-virus:AdWare.Win32.NaviPromo.i

 

 

Statistiques:

Virus connus: 152288 Mis à jour: 03-10-2005

Taille du fichier (Kb): 231 Corps des virus: 1

Fichiers: 1 Attention: 0

Archives: 0 Suspect: 0

 

 

 

 

 

voila le scan que tu ma demander pour le fichier .exe

par contre je ne peux plus telecharger les mises a jour d antivir de spybot de ad aware n e pas ouvrir msn messenger ni hotmail et j ai une pub de site de cul qui apparait tout le temps

merci d avance

[Jack_Burton]

Ok, ton fichier semble bien etre un malware.

 

En le renommant gampyrjh-exe.anc il est devenu inactif.

Je te le fais pas supprimer tout de suite, attends tout de meme 2 jours avant de le faire (on ne sait jamais car ce fichier est inconnu) si tu ne vois aucun probleme, tu pourras le supprimer.

 

par contre je ne peux plus telecharger les mises a jour d antivir de spybot de ad aware n e pas ouvrir msn messenger ni hotmail et j ai une pub de site de cul qui apparait tout le temps

 

Etrange cela, peux tu me poster un nouveau rapport hijackthis stp?

[Thanos]

salut Jack, Kik

 

Merci d'avoir pris la relève Jack Effectivement bizarre le fait de ne plus pouvoir

 

télécharger les mises à jour de tes logiciels de sécurité!Je me demande si les sites de

 

confiance n'ont pas été modifiés

 

J'aimerai, Kik que tu jette un oeil dans les options d' Internet Explorer:

 

Onglet "Outils" =>"Options internet" =>"Onglet Sécurité"=>tu cliques sur "Sites

 

Sensibles" => puis "Sites"

 

Dis nous ce qu'il y a .(l'adresse du serveur de Spybot par exemple...)

 

Télécharge CWShredder:

 

http://cwshredder.net/bin/CWShredder.exe

 

Installe dans un répertoire dédié et mets à jour

 

Redémarre en mode sans échec , lance CWShredder et clique sur "Fix"

[kik1521]

[voici le rapport de cwshredder

**** Run Keys ****

 

RUN: [ATIModeChange] Ati2mdxx.exe

RUN: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

RUN: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

RUN: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

RUN: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

RUN: [instant Access] rundll32.exe EGDACCESS_1065.dll,InstantAccess

 

 

**** Browser Helper Objects ****

 

BHO: [AcroIEHlprObj Class] C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

BHO: [] C:\PROGRA~1\SPYBOT~1\SDHelper.dll

BHO: [sT] C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

BHO: [CNisExtBho Class] C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

BHO: [MSNToolBandBHO] C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

BHO: [CNavExtBho Class] C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

 

 

**** IE Toolbars ****

 

TOOLBAR: [Web assistant] C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

TOOLBAR: [Norton AntiVirus] C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

TOOLBAR: [AOL Toolbar] C:\Program Files\AOL Toolbar\toolbar.dll

TOOLBAR: [MSN] C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

 

 

**** IE Extensions ****

 

IEExt: []

IEExt: [Web Browser Applet Control]

IEExt: [AOL Toolbar]

IEExt: [Recherche]

IEExt: [Real.com]

IEExt: [Messenger] C:\Program Files\Messenger\msmsgs.exe

 

 

**** Hosts File Entries ****

 

HOSTS: 127.0.0.1 localhost

HOSTS: 127.0.0.1 localhost

 

 

**** IE Settings ****

 

IEBypass: localhost

Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Search Bar: http://g.msn.fr/0SEFRFR/SAOS02

Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

 

 

**** IE Context Menu (Right click) ****

 

IEContext: [&Recherche AOL Toolbar] res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

IEContext: [E&xporter vers Microsoft Excel] res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

 

 

**** Layered Service Providers ****

 

LSP: MSAFD Tcpip [TCP/IP]

LSP: MSAFD Tcpip [uDP/IP]

LSP: RSVP UDP Service Provider

LSP: RSVP TCP Service Provider

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{70FBAE2A-0F0F-4733-98C8-E499651852F0}] SEQPACKET 5

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{70FBAE2A-0F0F-4733-98C8-E499651852F0}] DATAGRAM 5

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E3150594-0A9B-49ED-ACFE-85763F8AC130}] SEQPACKET 3

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E3150594-0A9B-49ED-ACFE-85763F8AC130}] DATAGRAM 3

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2C6893B0-C1FD-410C-823E-122EBCECB729}] SEQPACKET 0

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2C6893B0-C1FD-410C-823E-122EBCECB729}] DATAGRAM 0

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C85F6D44-0BAB-4808-B57D-B27C13ACB88E}] SEQPACKET 4

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C85F6D44-0BAB-4808-B57D-B27C13ACB88E}] DATAGRAM 4

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F40F0325-E264-4190-8B25-6B2C7D0AFE01}] SEQPACKET 1

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F40F0325-E264-4190-8B25-6B2C7D0AFE01}] DATAGRAM 1

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{58EBDCD0-65E2-43A1-8920-017E49F61EAA}] SEQPACKET 2

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{58EBDCD0-65E2-43A1-8920-017E49F61EAA}] DATAGRAM 2

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DB1EBF6C-5F97-457F-82FE-B6AEBC16A25E}] SEQPACKET 6

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DB1EBF6C-5F97-457F-82FE-B6AEBC16A25E}] DATAGRAM 6

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25959B7A-D650-42E9-A55E-F0A3D58BCC83}] SEQPACKET 7

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25959B7A-D650-42E9-A55E-F0A3D58BCC83}] DATAGRAM 7

 

 

**** Blocked Control Panel Items ****

 

BLOCKED: [ncpa.cpl] No

BLOCKED: [odbccp32.cpl] No

 

 

**** Downloaded Program Files ****

 

{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]

{A1C392A2-B274-46DB-89BE-1FBD476B9C93} [http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1065_XP.cab] C:\WINDOWS\system32\EGDACCESS_1065.dll

 

 

**** Windows Services ****

 

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService

[ALG] %SystemRoot%\System32\alg.exe

[AOL ACS] C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

[AOLService] C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe

[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs

[aspnet_state] %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe

[ATI Smart] C:\WINDOWS\system32\ati2sgag.exe

[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs

[AVWUpSrv] "C:\Program Files\AVPersonal\AVWUPSRV.EXE"

[bITS] %SystemRoot%\System32\svchost.exe -k netsvcs

[browser] %SystemRoot%\System32\svchost.exe -k netsvcs

[C-DillaCdaC11BA] C:\WINDOWS\System32\drivers\CDAC11BA.EXE

[ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"

[ccProxy] "C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe"

[ccPwdSvc] "C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe"

[ccSetMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"

[CiSvc] %SystemRoot%\system32\cisvc.exe

[ClipSrv] %SystemRoot%\system32\clipsrv.exe

[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}

[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs

[DcomLaunch] %SystemRoot%\system32\svchost -k DcomLaunch

[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs

[dmadmin] %SystemRoot%\System32\dmadmin.exe /com

[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs

[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService

[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs

[Eventlog] %SystemRoot%\system32\services.exe

[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs

[ewido security suite control] C:\Program Files\ewido\security suite\ewidoctrl.exe

[ewido security suite guard] C:\Program Files\ewido\security suite\ewidoguard.exe

[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs

[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs

[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs

[HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter

[imapiService] C:\WINDOWS\System32\imapi.exe

[inCDsrv] C:\Program Files\Ahead\InCD\InCDsrv.exe

[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs

[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs

[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService

[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs

[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe

[MSDTC] C:\WINDOWS\System32\msdtc.exe

[MSIServer] C:\WINDOWS\system32\msiexec.exe /V

[MysqlInventime] c:\mysql\bin\mysqld-nt MysqlInventime

[navapsvc] "C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe"

[NetDDE] %SystemRoot%\system32\netdde.exe

[NetDDEdsdm] %SystemRoot%\system32\netdde.exe

[Netlogon] %SystemRoot%\System32\lsass.exe

[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs

[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs

[NtLmSsp] %SystemRoot%\System32\lsass.exe

[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs

[ose] C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE

[PlugPlay] %SystemRoot%\system32\services.exe

[Pml Driver HPZ12] C:\WINDOWS\System32\HPZipm12.exe

[PolicyAgent] %SystemRoot%\System32\lsass.exe

[ProtectedStorage] %SystemRoot%\system32\lsass.exe

[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs

[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs

[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe

[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs

[RpcLocator] %SystemRoot%\System32\locator.exe

[RpcSs] %SystemRoot%\system32\svchost -k rpcss

[RSVP] %SystemRoot%\System32\rsvp.exe

[samSs] %SystemRoot%\system32\lsass.exe

[sAVScan] C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

[sBService] C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

[sCardSvr] %SystemRoot%\System32\SCardSvr.exe

[schedule] %SystemRoot%\System32\svchost.exe -k netsvcs

[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs

[sENS] %SystemRoot%\system32\svchost.exe -k netsvcs

[sharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs

[shellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs

[sLService] slserv.exe

[sNDSrvc] C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

[spooler] %SystemRoot%\system32\spoolsv.exe

[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs

[sSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService

[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc

[swPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{0DE4E0AF-C665-4137-B9E9-1AF5249BE96C}

[symWSC] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[sysmonLog] %SystemRoot%\system32\smlogsvc.exe

[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs

[TermService] %SystemRoot%\System32\svchost -k DComLaunch

[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs

[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs

[uMWdf] C:\WINDOWS\System32\wdfmgr.exe

[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService

[uPS] %SystemRoot%\System32\ups.exe

[vsmon] C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service

[VSS] %SystemRoot%\System32\vssvc.exe

[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs

[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService

[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs

[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs

[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe

[wscsvc] %SystemRoot%\System32\svchost.exe -k netsvcs

[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs

[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs

[xmlprov] %SystemRoot%\System32\svchost.exe -k netsvcs

 

 

**** Custom IE Search Items ****

 

SEARCH: [searchAssistant] http://ie.search.msn.com/fr/srchasst/srchasst.htm

SEARCH: [CustomizeSearch] http://ie.search.msn.com/fr/srchasst/srchcust.htm

 

 

**** Complete IE Options ****

 

IEOPT: [NoUpdateCheck]

IEOPT: [NoJITSetup]

IEOPT: [Disable Script Debugger] yes

IEOPT: [show_ChannelBand] No

IEOPT: [Anchor Underline] yes

IEOPT: [Cache_Update_Frequency] Once_Per_Session

IEOPT: [Display Inline Images] yes

IEOPT: [Do404Search]

IEOPT: [save_Session_History_On_Exit] no

IEOPT: [show_FullURL] no

IEOPT: [show_StatusBar] yes

IEOPT: [show_ToolBar] yes

IEOPT: [show_URLinStatusBar] yes

IEOPT: [show_URLToolBar] yes

IEOPT: [start Page] http://www.msn.fr/

IEOPT: [use_DlgBox_Colors] yes

IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [search Bar] http://g.msn.fr/0SEFRFR/SAOS02

IEOPT: [use Custom Search URL]

IEOPT: [AutoSearch]

IEOPT: [Friendly http errors] yes

IEOPT: [FullScreen] no

IEOPT: [Window_Placement] ,

IEOPT: [NotifyDownloadComplete] yes

IEOPT: [use_Combobox_DlgBox_Colors_Complete] 2

IEOPT: [use_Combobox_DlgBox_Colors_Failed] 10

IEOPT: [use_Combobox_DlgBox_Colors_Error] 10

IEOPT: [use FormSuggest] no

IEOPT: [Error Dlg Displayed On Every Error] no

IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [Enable_Disk_Cache] yes

IEOPT: [Cache_Percent_of_Disk]

IEOPT: [Delete_Temp_Files_On_Exit] yes

IEOPT: [Local Page] %SystemRoot%\system32\blank.htm

IEOPT: [Anchor_Visitation_Horizon]

IEOPT: [use_Async_DNS] yes

IEOPT: [Placeholder_Width]

IEOPT: [Placeholder_Height]

IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home

IEOPT: [Wizard_Version] 6.00.2800.1106

IEOPT: [FullScreen] no

merci d avance

[kik1521]

et le rapport hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 15:27:09, on 03/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [gampyrjh] c:\windows\system32\gampyrjh.exe -start

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0c\aoltray.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {A1C392A2-B274-46DB-89BE-1FBD476B9C93} - http://scripts.downloadv3.com/binaries/EGD...ESS_1065_XP.cab

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

encore merci

[Thanos]

j ai une pub de site de cul qui apparait tout le temps

 

Le voilà le responsable :RUN: [instant Access] rundll32.exe EGDACCESS_1065.dll,InstantAccess

 

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant:

 

-InstantAccess

 

Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O4 - HKLM\..\Run: [gampyrjh] c:\windows\system32\gampyrjh.exe -start l'as tu renommé comme te l'avais demandé Jack?

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

O16 - DPF: {A1C392A2-B274-46DB-89BE-1FBD476B9C93} - http://scripts.downloadv3.com/binaries/EGD...ESS_1065_XP.cab

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-EGDACCESS_1065.dll =>Dans C:\Windows où C:\Windows\System32

-c:\windows\system32\gampyrjh.exe -start

 

si tu ne trouve pas lance une recherche avec la fonction rechercher.

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Dis moi si je me trompe kik , mais le log que tu poste est le même que celui qu'a

 

analysé Jack Burton As tu bien cliqué surFix checked apres avoir coché

 

les lignes??

 

Autre chose: As tu clique surFix apres avoir démarré cwshredder??

 

Si ce n'est pas fait, fais le et reposte un log hijackthis en mode normal.

 

Je te fais effacer gampyrjh.exe -start , parce que c'est un exe aléatoire qui ne

 

correspond à rien.(Y a Jack qui va m'en vouloir )

 

Edit:

J'aimerai, Kik que tu jette un oeil dans les options d' Internet Explorer:

 

Onglet "Outils" =>"Options internet" =>"Onglet Sécurité"=>tu cliques sur "Sites

 

Sensibles" => puis "Sites"

 

Dis nous ce qu'il y a .(l'adresse du serveur de Spybot par exemple...)

 

J'insiste

Modifié le 4 octobre 2005 par charles ingals

[kik1521]

bonjour

voila j ai tout fait comme prevu normalement ca a marcher je vais renvoyer un log hijackthis en mode normal comme demander

parcontre pour ce que tu ma dit en regardant dans site sensible et voir si il y a spybot et ad aware ..etc benh j ai regarder mais il y son pas par contre y a des sites avec des numero je l ai recopier

66.250.57.28

66.250.57.27

66.250.57.26

66.250.170.107

66.250.130.194

merci et j envoie le log juste apres