Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

rapport hijackthis


lokitou

Messages recommandés

Bonsoir,

 

J'ai besoin d'aide car mon PC depuis quelques jours émet des bips peu après le démarrage. J'ai pensé que c'était un pb de clavier car celui ci est inutilisable très vite mais ce soir, en l'éteignant, il m'a affiché le message suivant : sysfader.exe ne peut pas s'arrêter.

J'ai lancé hijackthis mais ne sais pas comment vous soumettre le rapport.

En bref, il vous faudrait vraiment aider "un bleu" ou plutôt "une bleue" en informatique...

Merci d'avance.

Lien vers le commentaire
Partager sur d’autres sites

Rebonjour,

 

Finalement voici mon rapport hijackthis. Quelqu'un pourrait-il avoir la gentillesse de me dire s'il est normal ?

Merci beaucoup d'avance.

 

Logfile of HijackThis v1.99.1

Scan saved at 23:12:20, on 21/07/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\UAService7.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

D:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmes\Adobe\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: (no name) - {B4126314-CC73-79E1-D2AC-CA3BC0E2B1EC} - C:\WINDOWS\system32\sdkli.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [anvshell] anvshell.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [6.tmp] C:\DOCUME~1\chriss\LOCALS~1\Temp\6.tmp.exe 0 10001

O4 - HKLM\..\Run: [6.tmp.exe] C:\DOCUME~1\chriss\LOCALS~1\Temp\6.tmp.exe 1 10001

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DVDUpgrade] DVDUpgrd.exe /async

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Programmes\Adobe\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{07DB9D19-0853-42E0-9133-664B58E9EE79}: NameServer = 212.151.137.170 212.151.136.246

O17 - HKLM\System\CS1\Services\Tcpip\..\{07DB9D19-0853-42E0-9133-664B58E9EE79}: NameServer = 212.151.137.170 212.151.136.246

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

Lien vers le commentaire
Partager sur d’autres sites

Rebonjour,

 

Finalement voici mon rapport hijackthis. Quelqu'un pourrait-il avoir la gentillesse de me dire s'il est normal ?

Merci beaucoup d'avance.

 

 

 

 

 

Hello Je vois que tua s une infection avec bounty games ???

 

 

 

Boonty_Games Used with Boonty box. Will not uninstall from Add/Remove programs. This is from their Privacy Policy. "We also may share payment information with third parties who provide payment services and share aggregate data regarding the type and number of videogames you download, your age, gender, occupation, education level, geographic location, computer equipment data and on-line and video game interests, activities and practices to game publishers. In addition, we share e-mail addresses with third party e-mail carriers who assist us in sending out our e-mails to many of our customers at the same time. Subsidiaries and controlled affiliates are not viewed as third parties for the purpose of data transfers, and hence personal information may be shared within those subsidiaries and affiliates without obtaining additional consent."

 

 

trouver a l adresse suivante :http://www.castlecops.com/o23list-1744.html

 

 

voila une réponse qui peut t aider

 

 

ouvre hijackthis et choisis do a system scan only

ensuite tu coches les lignes suivantes

 

O2 - BHO: (no name) - {B4126314-CC73-79E1-D2AC-CA3BC0E2B1EC} - C:\WINDOWS\system32\sdkli.dll (file missing)

O4 - HKLM\..\Run: [6.tmp] C:\DOCUME~1\chriss\LOCALS~1\Temp\6.tmp.exe 0 10001

O4 - HKLM\..\Run: [6.tmp.exe] C:\DOCUME~1\chriss\LOCALS~1\Temp\6.tmp.exe 1 10001

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

 

puis clic sur le bouton "Fix Checked" un message apparait cliques sur "OUI"

 

 

Redémarre ton ordi

 

ensuite vide le contenu du dossiers suivant :

C:\Documents and Settings\chriss\Local Settings\temp

 

(attention n ouble d afficher les dossier cahés dans le dossier chris. Pour afficher les fichier ou dossiers cachés clique dans la barre des taches sur outil et ensuite sur options de dossiers choisis le 2eme onglet qui est affichage et séléctionne dans les paramatrees avancés afficher les fichiers et dossiers cachés)

 

Et suprime le dossier suivant :

 

C:\Program Files\Fichiers communs\BOONTY Shared

 

redémarre ton ordi

 

n oublie pas de désactiver la restauration du system (clique droite sur poste de travail et choisir propriétés ensuite choisir l'onglet restauration du system et coche la case désactiver la restauration du system et faire ok)

et redémare ton ordinateur

stp renvoie un log hijackthis pour exam. ;)

 

 

Merci

Modifié par beckbe
Lien vers le commentaire
Partager sur d’autres sites

beckbe ,

(meme si tu as vu les lignes infectieuses..)

 

1/sur zebulon,avant tout analyse de log,il y a une procedure à respecter,et elle doit etre appliquée avant toute analyse de log.

 

http://forum.zebulon.fr/index.php?showtopic=83986

 

2/Je ne suis pas forcement d'accord sur ta methode de virer boonty games,il faut desactiver/arreter son service au préalable[executer/services.msc],un conseiller confirmera mes dires...

 

3/ewido est aussi souvent conseillé,ainsi que des logs de nettoyage

 

Regardes d'autres sujets traités.

 

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

 

4/la restauration system est à desactiver/reactiver apres verification du bon fonctionnement du pc,et de son coté sain [meme si des niarks s'y collent!]

 

_____________

Lien vers le commentaire
Partager sur d’autres sites

Angelique,

 

Ce que je ne comprends pas ici c'est pourquoi utilisez vous tant d'outils comme Ewido,ATF-cleaner,Easycleaner,Jv16 Powertools... Quand réelement il faut pour 90% des infections juste Hijackthis et une bonne connaissance de Windows, pour les 10% restant (les rootkit) il faut peut etre F-Secure Blacklight. Et Boonty selon moi tombe dans les spyware vu qu íl envoie des informations. Selon CastleCops et BleepingComputer... Sa simplifierai largement la tache pour les debutant en informatique de ne pas avoir a utiliser 36000 outils aussi :P

Modifié par oliver369
Lien vers le commentaire
Partager sur d’autres sites

Ce que je ne comprends pas ici c'est pourquoi utilisez vous tant d'outils comme Ewido,ATF-cleaner,Easycleaner,Jv16 Powertools

 

1/cette discussion n'a pas lieu d'etre ici ,dans ce post!!!

 

2/Je n'ai pas inventé les canned et les methodes rigoureuses de desinfection et nettoyage sur zebulon

Lien vers le commentaire
Partager sur d’autres sites

 

4/la restauration system est à desactiver/reactiver apres verification du bon fonctionnement du pc,et de son coté sain [meme si des niarks s'y collent!]

 

_____________

 

 

 

Pour la resto du system t as peut etre raison mais perso je n l ai jamais activer depuis que j utilise windows xp... :P elle bouffe trop de place sur les disque dur

 

regarde meme sur zebulon ils deconseillent :

 

http://www.zebulon.fr/astuces/tip66/Virer-...me-sous-XP.html

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...