rapport hijackthis

[Jack_Burton]

Re,

 

Sinon j'ai un autre internat.exe dans c:\winnt\system32\dllcache , je vire ? merci.

 

Oui !!

 

Voila ce que tu vas faire :

 

1/ Démarre en mode sans échec

 

2/ Scan Hijackthis et coche cette ligne :

 

O4 - HKCU\..\Run: [internat.exe] internat.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

3/ Supprime le fichier incriminé (s'il existent encore) par l'Explorateur Windows :

-c:\winnt\system32\dllcache\ internat.exe

 

4/ Nettoyage du ver dans la base de registre:

 

*HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

-O4 - HKCU\..\Run: [internat.exe] internat.exe<-- supprime si présent

 

Ferme ensuite le registre.

 

5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Edit : ne touche pas encore aux lignes 017

 

2eme Edit : coucou megataupe

Désolé du retard, je suis débordé

Modifié le 9 octobre 2005 par Jack_Burton

[flyzer]

Voici donc :

 

Logfile of HijackThis v1.99.1

Scan saved at 13:17:43, on 09/10/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9

O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"

O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"

O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN

O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = resoserv.fr

O17 - HKLM\System\CCS\Services\Tcpip\..\{430FB4D7-4775-4B58-8534-FF42D5145DC0}: NameServer = 192.168.1.5,194.2.0.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{493DF5FD-8BC0-4949-972A-3C0B5B113DC5}: NameServer = 80.118.196.40 80.118.192.110

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = resoserv.fr

O17 - HKLM\System\CS1\Services\Tcpip\..\{430FB4D7-4775-4B58-8534-FF42D5145DC0}: NameServer = 192.168.1.5,194.2.0.20

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = resoserv.fr

O17 - HKLM\System\CS2\Services\Tcpip\..\{430FB4D7-4775-4B58-8534-FF42D5145DC0}: NameServer = 192.168.1.5,194.2.0.20

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINNT\CWBRXD.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe

 

Par contre j'arrive encore à avoir des erreures avec issas qui me lance des requetes de redémarrage . Une maj de sécurité me résoudrait t il ce problème ?

 

Merci encore pour tous.

[Jack_Burton]

Re,

 

Bon sur ton dernier rapport les saletés sont parties, mais je m interroge encore sur tes lignes 017.

 

Tu as quel FAI??

 

Par contre j'arrive encore à avoir des erreures avec issas qui me lance des requetes de redémarrage . Une maj de sécurité me résoudrait t il ce problème ?

 

issas? ou lsass? ou alors lssas?? S il te plait tache de faire attention a l orthographe car cela peut nous mettre sur de mauvaises voies du fait de la similitude des noms de fichiers, qui peuvent d une lettre a l autre etre identifié en virus ou en fichier légitime

Modifié le 9 octobre 2005 par Jack_Burton

[flyzer]

mon fai est neuf telecom.

 

A quoi correspond O16 ?

 

Pour ce qui est du nom c'est lsass .

Modifié le 9 octobre 2005 par flyzer

[megataupe]

Re. Ta ligne 016 :

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

 

correspond à un scan en ligne de Trend Micro. Ces lignes 016 peuvent être fixées sans problème dans HijackThis.

 

Le processus Lsass.exe (LSASS signifiant Local Security Authority Subsystem Service) est un processus système natif de Windows 2000/XP gérant les mécanismes de sécurité locale et d'authentification des utilisateurs via le service WinLogon. Il s'agit ainsi d'un serveur local d'authentification servant, en cas d'authentification réussie, à créer un jeton d'accès permettant de lancer la session.

[Jack_Burton]

mon fai est neuf telecom.

 

A quoi correspond O16 ?

 

Pour ce qui est du nom c'est lsass .

585934[/snapback]

Ton Pc est relié en réseau? C est un PC d entreprise?? Ou est ce juste un PC portable personnel?

 

Ces lignes 017 m intriguent

Modifié le 9 octobre 2005 par Jack_Burton

[flyzer]

Ton Pc est relié en réseau? C est un PC d entreprise?? Ou est ce juste un PC portable personnel?

 

Ces lignes 017 m intriguent 

586003[/snapback]

 

Depuis chez moi je le connecte à un modem adsl usb.

 

Au boulot réseau ethernet.

 

Oui c'est un portable d'entreprise.

Modifié le 9 octobre 2005 par flyzer

[Jack_Burton]

Ok, je vois un peu plus clair :

 

-FAI 9 Telecom chez toi !!!

-Transpac de Fance Telecom au boulot !!!

 

Enfin j espere que c est bien ca. Tu pourrais te renseigner lorsque tu seras a ton boulot?

Demande a ton boulot si le réseau utilise les services Transpac de Fance Telecom ?

Modifié le 9 octobre 2005 par Jack_Burton

[flyzer]

Ok, je vois un peu plus clair :

 

-FAI 9 Telecom chez toi !!!

-Transpac de Fance Telecom au boulot !!!

 

Enfin j espere que c est bien ca. Tu pourrais te renseigner lorsque tu seras a ton boulot?

Demande a ton boulot si le réseau utilise les services Transpac de Fance Telecom ?

586044[/snapback]

 

 

Les CS1 et CS2 sont identiques ( c'est les @ dns ). Je vais tuer le cretin qui me l'a préparé lundi .

 

Merci encore pour ton aide.

[Jack_Burton]

Ben demain, au boulot, profites en lorsque tu étrangleras le "crétin" en question a demander si votre entreprise utilise les services Transpac de Fance Telecom.

Une fois que nous aurons la réponse, nous verrons beaucoup plus clair a cette histoire.

Modifié le 9 octobre 2005 par Jack_Burton