le rapport hijackthis

lau13 · le 13 mai 2006

ola

j'ai eu un soucis avec cet win32:agent-re

après avoir suivi les consignes me voici avec mon rapport hijackthis,pourriez vous avoir la gentillesse

de jetter un oeil dessus et me dire quoi faire ensuite ??

Logfile of HijackThis v1.99.1

Scan saved at 15:26:38, on 13/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\ACER\PSM.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\ALCMTR.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [MPS] C:\ACER\PSM.EXE

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2E..._1049_FR_XP.cab

O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Malekal_morte · le 13 mai 2006

Bonjour,

Télécharge F-Secure Blacklight : http://www.f-secure.com/blacklight/try.shtml

Lance-le en double-cliquant sur le fichier blbeta.exe

Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

Tu peux consulter le tutorial de F-Secure BlackLight

lau13 · le 14 mai 2006

Bonjour,

Télécharge F-Secure Blacklight : http://www.f-secure.com/blacklight/try.shtml

Lance-le en double-cliquant sur le fichier blbeta.exe

Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

Tu peux consulter le tutorial de F-Secure BlackLight

lau13 · le 14 mai 2006

désolé de n'avoir pu répondre plus tot mais je maitrise encore mal les forums bref apres avoir telecharger f secure black light,dont voici le rapport que dois je faire????

05/14/06 19:31:18 [info]: BlackLight Engine 1.0.36 initialized

05/14/06 19:31:18 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/14/06 19:31:18 [Note]: 7019 4

05/14/06 19:31:18 [Note]: 7005 0

05/14/06 19:31:21 [Note]: 7006 0

05/14/06 19:31:21 [Note]: 7011 896

05/14/06 19:31:21 [Note]: 7026 0

05/14/06 19:31:22 [Note]: 7026 0

05/14/06 19:31:22 [Note]: 7024 3

05/14/06 19:31:22 [info]: Hidden process: C:\windows\system32\lenqdzcwa.exe

05/14/06 19:31:22 [Note]: FSRAW library version 1.7.1015

05/14/06 19:31:46 [info]: Hidden file: c:\WINDOWS\system32\lenqdzcwa.dat

05/14/06 19:31:46 [Note]: 10002 1

05/14/06 19:31:46 [info]: Hidden file: C:\windows\system32\lenqdzcwa.exe

05/14/06 19:31:46 [Note]: 10002 1

05/14/06 19:31:46 [info]: Hidden file: c:\WINDOWS\system32\lenqdzcwa_nav.dat

05/14/06 19:31:46 [Note]: 10002 1

05/14/06 19:31:47 [info]: Hidden file: c:\WINDOWS\system32\lenqdzcwa_navps.dat

05/14/06 19:31:47 [Note]: 10002 1

05/14/06 19:31:49 [info]: Hidden file: c:\WINDOWS\system32\msplock32.dll

05/14/06 19:31:49 [Note]: 10002 1

05/14/06 19:31:54 [info]: Hidden file: c:\WINDOWS\Prefetch\LENQDZCWA.EXE-170375C6.pf

05/14/06 19:31:54 [Note]: 10002 1

05/14/06 19:33:46 [Note]: 7007 0

Malekal_morte · le 14 mai 2006

Bonsoir lau13,

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

Sur HijackThis, refais un scan et coches les lignes suivantes :

O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2E..._1049_FR_XP.cab

O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

- Télécharge et installe ewido

- Mets le à jour à partir du bouton Update, ne scan pas maintenant avec.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

- Ouvre le bloc-note et copie/colle ceci dedans :

cd %windir%
cd SYSTEM32

attrib -s -r -h lenqdzcwa.exe

del evkghbz.exe

attrib -s -r -h msclock32.dll

del msclock32.dll

attrib -s -r -h msplock32.dll

del msplock32.dll

attrib -s -r -h lenqdzcwa_navps.dat

del lenqdzcwa_navps.dat

attrib -s -r -h lenqdzcwa.dat

del lenqdzcwa.dat

attrib -s -r -h __delete_on_reboot__msclock32.dll

del __delete_on_reboot__msclock32.dll

del %windir%\Prefetch\*

Toujours sur bloc-note / Fichier / enregistre-sous / nomme le fix.bat et place le sur ton bureau

_________

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

-- Double clic sur fix.bat qui se trouve sur ton bureau, une fenetre noire va s'ouvrir et se refermer.

- Démarre ewido et clique "Complete System Scan"

- Laisse le scan se faire et touche à rien, s'il te propose de supprimer des malwares, dis oui, quand le scan est terminé, clique sur "Save Report" pour enregistrer le rapport et colle le ici

N'hésite pas à consulter l'Aide ewido pour tout problème.

- Tu peux consulter l'Aide ewido

____

-- Redémarre en mode normal

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- du scan Kaspersky

- ewido

- le rapport : C:\rapport_clean.txt

- Relance un scan sur BlackLight et copie/colle le rapport ici

- ainsi qu'un nouveau log HijackThis

lau13 · le 17 mai 2006

ola!

je dois d'abord te remercier des indications que m'a fournies et du temps précieux que tu m'as accordé!

j'ai galéré avec egdaccess.bfu,je n'ai rien vu dans la boite scriptline to execute mais j'ai continué et voici les rapports,tout d'abord le scan Kaspersky est clean;voici les autres

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 17:29:21, 17/05/2006

+ Somme de contrôle: ACA0D742

+ Résultats du scan:

C:\Documents and Settings\karine hoka\Cookies\karine hoka@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\karine hoka\Cookies\karine hoka@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\karine hoka\Cookies\karine hoka@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\karine hoka\Cookies\karine hoka@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

::Fin du rapport

Microsoft Windows XP [version 5.1.2600]

*** SUPPRESSION DES FICHIERS

*** Suppressions de trojans/vers sur...

*** Suppressions des adaware dans Program Files... ---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 17:29:21, 17/05/2006

+ Somme de contrôle: ACA0D742

+ Résultats du scan:

C:\Documents and Settings\karine hoka\Cookies\karine hoka@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\karine hoka\Cookies\karine hoka@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\karine hoka\Cookies\karine hoka@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\karine hoka\Cookies\karine hoka@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

::Fin du rapport

Microsoft Windows XP [version 5.1.2600]

*** SUPPRESSION DES FICHIERS

*** Suppressions de trojans/vers sur...

Logfile of HijackThis v1.99.1

Scan saved at 17:49:46, on 17/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\ACER\PSM.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\ALCMTR.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\NOTEPAD.EXE