Aide Hijackthis

[maykimaykedelille]

Salut tout le monde,

 

Mon pc rame de nouveau depuis quelques temps et les ventilos s emballent regulierement!

 

Alors je vais l ouvrir pour passer un bon coup d aspiro a nouveau mais j aimerai aussi verifier au niveau d evenetuelles infections!

 

Alors une petite question, sur les rapports hijackthis, faut il a chaque fois fixer les lignes se terminant par "file missing"???

 

Sinon voici mon rapport pour avoir qq conseils!

 

Merci a vous!

 

Sinon, j ai suivi la procedure de nettoyage indique sur le site avant de lancer un hijackthis!!

 

Et je me suis permis egalement de fixer cette ligne: O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

Logfile of HijackThis v1.99.1

Scan saved at 01:52:29, on 11/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hijackthis\Hijackthis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Le monde de Doudou

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)

O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)

O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)

O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)

O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...754/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{66BD71DD-BCCB-4E37-B1E3-2F7D395C07AF}: NameServer = 194.117.200.10,194.117.200.15

O17 - HKLM\System\CS1\Services\Tcpip\..\{66BD71DD-BCCB-4E37-B1E3-2F7D395C07AF}: NameServer = 194.117.200.10,194.117.200.15

O17 - HKLM\System\CS2\Services\Tcpip\..\{66BD71DD-BCCB-4E37-B1E3-2F7D395C07AF}: NameServer = 194.117.200.10,194.117.200.15

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[bruce lee]

bonjour,

 

ce rapport est propre, on va verifier plus en profondeur:

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/

 

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

EDIT: poste un rapport hijackthis en mode normal s'il te plait.

Modifié le 11 juin 2006 par bruce lee

[maykimaykedelille]

Merci de ta reponse!

 

J ai suivi tes indications, d habitudez je n a pas de mal pour scanner avec kapersky mais la il m est impossible de scanner

 

j ai bien parametrer les activeX

 

a chaque fois que je lance le scan il me demande d accepter ce controle, ce que je fais, et ca revient toujours a une fenetre d explications.

 

Et quand je reclqieu sur lancer le scan, controle accepte, il me redemande d accepter le meme controle!!!

[bruce lee]

re,

 

essaye avec celui la, ca devrai marcher car tu as deja le control activX d'installer

 

http://www.pandasoftware.com/activescan/fr...n_principal.htm

tuto pour panda http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

 

a la fin du scan tu cliques sur "consulter le rapport",tu le sauvegardes et tu le posts.

[maykimaykedelille]

yes ca marche!

 

voila le rapport:

 

 

Incident Statut Analyse

 

Adware:adware/powerstrip No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.atdmt.com/]

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.bluestreak.com/]

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.247realmedia.com/]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.weborama.fr/]

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.247realmedia.com/]

Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.mediaplex.com/]

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.tradedoubler.com/]

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Hitbox No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.hitbox.com/]

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[.advertising.com/]

Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\5p3mna0m.default\cookies.txt[fl01.ct2.comclick.com/]

[bruce lee]

re,

 

il en a été rapide le scan!

 

est ce toi qui a installé powerstrip? car apparement ce n'est pas mauvais http://www.01net.com/windows/Utilitaire/op...iches/5943.html

[maykimaykedelille]

j ai trouve aussi qu il avait ete rapide le scan pourtant j ai bien scanne poste de travail!

 

ai je fait une erreur?

 

pour powerstrip et bien non je ne l ai pas installe je ne savais meme pas ce que c etait

 

mais la derniere fois que je suis venu sur Zeb, on a tout essaye pour effacer ce powerstrip et... impossible!!

[maykimaykedelille]

re!

 

et pour ma question qui concerne les lignes de hijackthis se terminant par file missing

 

inutile de les effacer?

[bruce lee]

re,

 

pour ma question qui concerne les lignes de hijackthis se terminant par file missing

 

inutile de les effacer?

 

Tu peux les laisser, ca ne pose pas de probleme

 

 

1/demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

powerstrip

 

si ce programme est present desinstalle le.

 

2/Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle l'entrée en gras dans la ligne de la zone de recherche:

 

powerstrip

 

- rien dans la ligne "Enter string to exclude from results"

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel.

 

@+

[maykimaykedelille]

re,

 

- copie-colle le contenu de la fenêtre dans un post, ici

 

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.1.0

 

; Results at 11/06/2006 18:03:24 for strings:

; '

powerstrip'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

 

 

a+