verif log hijackthis

[didoufr]

bonjour

apres passage a

regcleaner

spyboot

adaware

a2

avp antivirus

antivirus secuser.comsystem mechanic

ccleaner

microsoft antyspyware

voici mon log je vous remercie par avance si vous y voyez quelques chose d'anormal

 

Logfile of HijackThis v1.99.1

Scan saved at 15:25:46, on 18/07/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\CyberLink\PowerCinema\PCMService.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\ASUSKBService.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\olidata\LOCALS~1\Temp\Rar$EX00.516\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/h

[tornado]

Bonjour didoufr et bienvenue sur le forum sécurité de zébulon,

 

 

Ton rapport est incomplet (les lignes O23 sont manquantes)

Veux-tu coller l'intégralité du log Hijackthis généré dans ton prochain post ?

 

Par ailleurs, pour quelle raison as-tu posté ton log Hijackthis ? As-tu des disfonctionnements ?

 

 

A+

Modifié le 17 juillet 2006 par tornado

[didoufr]

quel idiot en effet il en manque !!!!

Logfile of HijackThis v1.99.1

Scan saved at 21:53:22, on 18/07/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\CyberLink\PowerCinema\PCMService.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\ASUSKBService.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

E:\Program Files\eMule\emule.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\olidata\LOCALS~1\Temp\Rar$EX00.125\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/...tail/DASAct.cab

O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ASUS Keyboard Service (ASUSKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ASUSKBService.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.ex

 

j'ai des popups genre doctor je sais plus ainsi que pour des casinos uniquement avec IE pas avec firefox

[tornado]

Re,

 

 

 

Je ne vois rien d'infectieux sur ton rapport Hijackthis.

 

Les messages publicitaires que tu reçois sous IE sont certainement dûs au fait qu'IE n'est pas sécurisé, n'intégrant pas d'antipopups en interne.

C'est pour cela qu'il vaut mieux utiliser Firefox, mieux sécurisé à l'aide d'extensions => Sécuriser un peu plus Firefox

 

Si tu utilises cependant IE de temps en temps (nécessaire pour certains sites), et pour limiter l'affichage de pubs, tu peux utiliser IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)

Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg :

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)

http://www.spywarewarrior.com/uiuc/resource.htm

 

Pour davantage améliorer ta sécurité, tu peux modifier ton fichier Hosts pour interdire l'accès aux sites "douteux" qui te font afficher ces pubs, pour tous les navigateurs. Explication/Instructions => http://benoit.aun.free.fr/securite-facile-php/hosts.php (un grand merci à Odsen)

 

=====================================================

 

Si après ça tu reçois toujours des messages publicitaires sous IE, fais un scan antivirus en ligne comme celui de Kaspersky => http://webscanner.kaspersky.fr

Le tutorial : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

 

N'oublie pas de mettre le rapport obtenu dans ta prochaine réponse.

 

 

A+

 

 

PS: Je vois que tu n'as pas le SP2, alors qu'il est nécessaire de l'installer pour pouvoir recourir aux dernières màj critiques ... L'as-tu volontairement ignoré ? (problèmes matériels possible etc ... )

[didoufr]

ok je te remercie de tes conseils et je te souhaite une bonne journée , je vaios regarder a tout ça !!

la sp2 je l'ai pas mise car j'ai pas mal d'mais qui ont eu de soucis après install et certains n meme du formater

je n'ai pas de materiel tres a

[didoufr]

ok je te remercie de tes conseils et je te souhaite une bonne journée , je vaios regarder a tout ça !!

la sp2 je l'ai pas mise car j'ai pas mal d'mais qui ont eu de soucis après install et certains n meme du formater

je n'ai pas de materiel tres ancien tout est d'origine sur le pc

tu en pense quoi ?

oups j'oubliais hier soir j'ai fais un passage avec pandasoftaware j'ai eu ça

Incident Statut Analyse

 

Spyware:Cookie/Atlas DMT No Désinfecté

C:\Documents and Settings\olidata\Cookies\olidata@atdmt[1].txt

Spyware:Cookie/Xiti No Désinfecté

C:\Documents and Settings\olidata\Cookies\olidata@xiti[1].txt

Outil indésirable:Application/ServUBased.A

je vais faire les autres

merci a bientot

[didoufr]

rien avec kaspery toutes vrifs faites

merci

[tornado]

Re,

 

 

Ok pour le SP2... si tu sais qu'il pose des problèmes sur ton système.

 

Pour le rapport de panda, il manque une ligne; le chemin du fichier infectieux correspondant à "Outil indésirable:Application/ServUBased.A ". Peux-tu mettre le rapport complet ?

 

Sinon, rien à signaler car le reste des fichiers trouvés sont des cookies, qui reviennent systèmatiquement au cours de la navigation.

 

 

A+

[didoufr]

justement j'ai que ça dans le rapport txt que j'ai sauvegardé

je vais le refaire et essayer de copier directement sur le site

merci

a ++

[didoufr]

Re hello

voici cette fois le rapport complet de panda (encore une erreur de ma part j'avais pas vu qu'il y avait des lignes plus loin dans le bloc notes désolé !!!

 

Incident Statut Analyse

 

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\olidata\Cookies\olidata@as1.falkag[2].txt

Spyware:Cookie/Atlas DM No Désinfecté C:\Documents and Settings\olidata\Cookies\olidata@atdmt[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\olidata\Cookies\olidata@bluestreak[1].txt

Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\olidata\Cookies\olidata@mediaplex[1].txt

Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\olidata\Cookies\olidata@stats1.reliablestats[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\olidata\Cookies\olidata@xiti[1].txt

Outil indésirable:Application/ServUBased.A No Désinfecté C:\Program Files\Serv-U\ServUPerfCount.dll

bon a priori servU est le logiciel que je test pour faire mon serveur FTP et cette dll est dedans mais bonne ou mauvaise je sais pas en yout cas ce logiicielne fonctionne que tre rarement, les autres sont des cookies que je n'avais pas encore éffacés

 

depuis que j'ai chargé IE-SPYAD il semblerais que j'ai un peu moins de pub, pourtant c'etais jamais de la pub porno ?! tu voisd la ça fais un moment que j'ai rien eu. ensuite ça depend des sites

 

par contre j'ai 3 ficgiers dans win\temp qui refusent de s'effacer, j'ai un logiciel pour forcer l'effacement je ne risque rien avec des temps ?

 

a+++ bonne journée