quelqu'un peut il analyser mon hijackthis SVP ?

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : quelqu'un peut il analyser mon hijackthis SVP ?

isa62185

Bonsoir :hello: :hello:
Quelqu'un pourrait il m'aider en analysant mon hijackthis SVP ? je n'arrive pas à me débarrasser de spyware .. malgré ... spybot, ad-aware, cwsinstal .... (pour info, anti virus securitoo.com de wanadoo également installé....) -
mille merci à l'avance !

Logfile of HijackThis v1.99.1
Scan saved at 22:32:19, on 26/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Network Host Service] kfmzolx32.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Network Host Service] kfmzolx32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCBF9D11-302D-4094-B6D4-6C9EFD83FB2C}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

Publicité

acrobaze

Ce n'est pas un spyware, c'est un ver.

O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [Network Host Service] kfmzolx32.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Network Host Service] kfmzolx32.exe

Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".

----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

Et supprime:
winmon32.exe
kfmzolx32.exe

Vide la corbeille. Redémarre en mode normal et poste un nouveau log.

isa62185

Bonjour Acrobaze
tout d'abord, merci d'avoir pris du temps pour me répondre ... J'ai suivi tous tes conseils (installé en + google toolbar). Voici donc le hijackthis ...

Logfile of HijackThis v1.99.1
Scan saved at 13:32:53, on 27/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCBF9D11-302D-4094-B6D4-6C9EFD83FB2C}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

Merci d'avance !

acrobaze

Ca semble bon! :hello:

isa62185

Cela semble bon en effet. Mais j'ai un message à l'ouverture : "le fichier hpzrp306.ddl de "inconnu" est introuvable". Cela met mon firewall en dysfonctionnement et après quelques secondes, mes périphériques se réinstallent automatiquement et le firewall se remet OK (tout cela à chaque démarrage ...). Ce n'est pas très génant mais peut être inquiétant ???
En tous les cas, merci encore pour ton aide précieuse ....

Pasteque de plomb

Anti-bobo

isa62185 a écrit :

A vue de nez vite fait (ce qui ne dispense pas d'une analyse sur leur site).

Pas kewl:

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

Spybot c'est bien quand on le fait tourner à la demande et qu'il ferme sa gueule le reste du temps, sinon c'est une saloperie.

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

Skwa struc?

O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay

Depuis quand il a besoin d'être en tâche de fond lui?

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

Même remarque

O4 - HKLM\..\Run: [Network Host Service] kfmzolx32.exe

Suspect ce truc. Ca vient de la planète Glorgxkltgpzr,f35 ?

O4 - HKLM\..\Run: [adiras] adiras.exe

NEIN !!! NON !!! NIET!!! POU!!!

BanditFlo

spybot une saloperie :??: y a que teatimer qui merde chez moi le bho fonstionne tres bien [:ocube]

Pasteque de plomb

Anti-bobo

BanditFlo a écrit :

spybot une saloperie :??: y a que teatimer qui merde chez moi le bho fonstionne tres bien [:ocube]

La veille permanente est effectivement une vraie saleté parano qui peut amener une quantité inimaginable de merdes dans le bon fonctionnement du système. Je n'aime guère Spybot malgré le fait qu'il est (trop) pêrformant. Je lui préfère infiniement Ad Aware ou MS anti-spyware.

Message édité par Pasteque de plomb le 27-02-2005 à 14:20:39

isa62185

donc si je compends bien il faut que je vire spybot au plus vite ? par contre je pensais qu'Adiras servait pour le modem ? hpztsb06.exe kfmzolx32.exe --> rien trouvé pour ces 2 là. Par où dois je commencer ????

Pasteque de plomb

Anti-bobo

isa62185 a écrit :

A la rigueur tu peux le garder, à condition de désactiver la vaccination. Enfin c'est un conseil que je donne.

En ce qui concerne Adiras, ça me parait louche mais heureusement qu'on dit que c'est à vue de pif et que ça ne dispense pas d'aller faire l'analyse surleur site.

Dans ce genre de chose il faut commencer par lire chaque mot, chaque terme. Exacetement comme une dissertation au lycée. Allez au boulot!

edit: tu n'espère tout de même pas qu'on fasse des recherches poussées à ta place? On se limite au conseils d'ordre général qui restent des conseils.

Message édité par Pasteque de plomb le 27-02-2005 à 14:39:20

Publicité

isa62185

j'ai bien compris le message et rassures toi je n'attendais pas non plus que tu fasses "tout le boulot"", de toute les façons tu ne le pourrais pas puisque ce n'est pas toi qui appuie sur les touches ! c'est justement en allant faire des recherches sur ADIRAS, que les avis sont différets ... alors que faire ?? de toutes les façons, je risque simplement de devoir réintaller mon modem ... d'autre part, pour mes fichiers venant de la planête XYZ, je n'ai en effet rien trouvé sur eux. Je fixed ceux qui doivent l'être. Par contre, mes compétences étant très limitées (celà fait très longtemps que j'ai quitté le lycée !), je ne sais pas comment retirer nero + Elby check des taches de fond ...
merci pour tous ces conseils !

acrobaze

isa62185 a écrit :

Ne touche à rien.

Je t'ai dit que c'était bon.

Quel est le message d'erreur exactement ?

isa62185

OK. Lorsque je redémarre mon PC, securitoo de wanadoo se met en marche, avec le firewall en dysfonctionnement. Après quelques secondes (env 20), tous mes périphériques se réinstallent (imprimante, scanner) sauf 1 pour lequel j'ai une fenêtre d'erreur qui m'indique :"le fichier hpzrp306.dll de "inconnu" est introuvable". Il me propose de le chercher à partir d'un CD ou d'un fichier .. Je fais annuler. De là, le firewall se met OK et je peux me connecter à Wanadoo, sinon, je ne le pouvais pas. Sinon est que le fait d'avoir installer MSN peut occasionner tous ces prob ? car comme un fait du hazard, c'est depuis ce jour, que j'ai des probs ... Merci de ton aide.

acrobaze

Et ceci :

Pasteque de plomb,

Tu as commis trois erreurs :

1) tu as pris le vieux log avant nettoyage,

2) même là, tu as loupé:
winmon32.exe

3) "A vue de nez vite fait (ce qui ne dispense pas d'une analyse sur leur site)."

Le site de qui ? Ce n'est pas le site d'HijackThis, même s'il s'en est approprié le nom!

On pourrait ajouter d'autres choses...comme à propos d'Adiras.exe..

acrobaze

hpzrp306.dll est sûrement un composant du pilote d'imprimante.

isa62185

ok je vais tout réinstaller. Merci encore de ton aide ... je viens de m'inscrire sur ce forum .. il n'est pas évident de "déceler" la bonne personne compétente en la matière. pour ma part, je crois l'avoir trouvée en ton nom ... A bientôt !

acrobaze

Il est donné là :

systemroot+\system32\spool\drivers\w32x86\3\hpzrp306.dll

donc c'est l'imprimante, à 99%.

isa62185

super ! merci encore !

Pasteque de plomb

Anti-bobo

acrobaze a écrit :

Tu cherches à faire un concours ou quoi à te lire?

On peut rajouter l'utilité d'avoir Nero ou Elby en services sauf cas très spécifiques si ce n'est bouffer des ressources?

FORUM HardWare.fr

Windows & Software

Sécurité

quelqu'un peut il analyser mon hijackthis SVP ?

Sujets relatifs
Analyser traffic des visiteurs sur un serveur IIS (statistiques pages)	HijackThis bon ou pas ?
Log Hijackthis ok?	Mon hijackthis....attention les yeux !!!
SVP...urgent. Probleme de peripheriques dans le poste de travail	Quelqu'un pour analyser mon log HiJack? please...
AVG7: où se trouve sa base virale SVP?	un chtit log hijackthis a vérifier pliz
je désire comprendre le hijackthis	SVP qui peut m'aider à analyser hijackthis log ...
Plus de sujets relatifs à : quelqu'un peut il analyser mon hijackthis SVP ?

Page générée en 0.067 secondes