Rapport hijackthis

[ENAID]

Bonjour,

C'est à nouveau enaid mais cette fois, ce n'est pas mon ordi qui a un problème mais celui de mon copain. Je vous envoie son rapport hijackthis. Il semble avoir les mêmes problèmes que moi.

Merci de votre aide.

Diane

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:57:09, on 02/02/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\soundman.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearchIndexer.exe

C:\Documents and Settings\gui\Local Settings\Temporary Internet Files\Content.IE5\EN2VET2R\HijackThis[1].exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Program Files\ScanSoft\PDFConverter 2.0 Professional\PDFConv\\RegistryController.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\RunServices: [ms ownage] winPE.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\en-us\bin\WindowsSearch.exe

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0001.1119\en-us\msntb.dll/search.htm

O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/229?97b1adad73d64816852d901bf42e2580

O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0001.1119\en-us\msntabres.dll/230?97b1adad73d64816852d901bf42e2580

O8 - Extra context menu item: Ouvrir le fichier PDF dans Word (PDF Converter 2.0) - res://C:\Program Files\ScanSoft\PDFConverter 2.0 Professional\PDFConv\IEShellExt.dll /300

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {D6ED542B-6339-11D2-91A8-00A0C9B760DB} (RteDocumatDoc Control) - http://cabs.rte.fr/RteAllCabsMFC.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

[bruce lee]

bonsoir,

pendant que j'analyse ton log change hijackthis de place, tu le mets ou tu veux sauf dans les fichiers temp.

Modifié le 2 février 2006 par bruce lee

[did71]

Bonsoir ENAID,

 

ce que je remarque avant tout, c'est ça :

 

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

faudrait penser à faire les mises à jour de XP et IE, non???

 

Quels sont les problèmes rencontrés?

 

a+

[Jack_Burton]

Bonsoir a tous

 

Quels sont les problèmes rencontrés?

Moi je dirais infection par un vilain trojan :

O4 - HKLM\..\RunServices: [ms ownage] winPE.exe

 

Bruce, tu devrais d abort lui faire appliquer la procédure préliminaire!

Modifié le 2 février 2006 par Jack_Burton

[bruce lee]

re,

pour la ligne 04 avant de la supprimer par le registre on va essayer manuelement.

demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

lance hijackthis en cliquant sur do a scan system only coche et clique sur fixchecked

 

O4 - HKLM\..\RunServices: [ms ownage] winPE.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

quitte hijackthis.

 

supprimes ce qui est en gras:

C:\WINDOWS\web\ related.htm

 

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

recherche ceci(si trouvé tu le supprimes):

 

winPE.exe

 

redemarre en mode normal et repost un log a titre de verification.

[ENAID]

bonsoir,

pendant que j'analyse ton log change hijackthis de place, tu le mets ou tu veux sauf dans les fichiers temp.

Bonsoir bruce lee,

je suis embêtée car jack burton me disait déjà que je mettais pas les rapports hijackthis au bon endroit mais jes les enregistre dans C/: Programfiles/hijackthis et il me semble que c la procédure.

Sinon, ok pour les mises à jour.

Le problème est que des fenêtres s'ouvrent et disent en gros "alerte windows vous signale qu'il ya une erreur ....( ex: 55 crtical system errors), il faut aller sur regfixit est télécharger un truc super cher "

Voili

à +

diane

[bruce lee]

supprimes ta version d'hijackthis et prend celle la:

http://telechargement.zebulon.fr/license-1-160.html (elle s'installe automatiquement dans programme files.)

telecharge aussi *Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

déconnecte toi du net.

 

avec la nouvelle version:

 

demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

lance hijackthis en cliquant sur lance hijackthis en cliquant sur scanner seulement coche et clique sur fixer objet

 

O4 - HKLM\..\RunServices: [ms ownage] winPE.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

quitte hijackthis.

 

supprimes ce qui est en gras:

C:\WINDOWS\web\ related.htm

 

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

recherche ceci(si trouvé tu le supprimes):

 

winPE.exe

 

lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

redemarre en mode normal et repost un log a titre de verification. ainsi que le rapport d'ewido

[ENAID]

Je n'ai pas lu ce dernier mess avant de suivre la procédure du mess précédent.

Voici le nouveau rapport mais kasperski me signale que network attaque lovesasn from adress84.5.4.52

et j'ai tjrs le même mess d'erreur

Mais bon je vais installer ewindo

à tout de suite

diane

 

 

supprimes ta version d'hijackthis et prend celle la:

http://telechargement.zebulon.fr/license-1-160.html (elle s'installe automatiquement dans programme files.)

telecharge aussi *Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

déconnecte toi du net.

 

avec la nouvelle version:

 

demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

lance hijackthis en cliquant sur lance hijackthis en cliquant sur scanner seulement coche et clique sur fixer objet

 

O4 - HKLM\..\RunServices: [ms ownage] winPE.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

quitte hijackthis.

 

supprimes ce qui est en gras:

C:\WINDOWS\web\ related.htm

 

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

recherche ceci(si trouvé tu le supprimes):

 

winPE.exe

 

lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

redemarre en mode normal et repost un log a titre de verification. ainsi que le rapport d'ewido

[did71]

Bonsoir à tous,

 

Je ne comprends pas pourquoi personne n'attire l'attention sur les mises à jour de XP et IE!

 

C'est le départ de toute analyse!

 

a+

[Marie]

Bonsoir à tous

 

 

Si la fenêtre contenant le message d'erreur (55 critical system errors) a pour titre "Service d'affichage des messages", il suffit de désactiver ce service.

Fais Démarrer/Executer et saisis services.msc puis OK.

Cherche le service se nommant précisément Affichage des messages

Double-clique sur ce service.

Dans onglet Général, dans la case Type de démarrage, mets Désactivé à la place de Automatique.

Et dans Etat du service, Clique sur Arrêter.

Fais OK pour fermer toutes les fenêtres et valider la modification.