Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1867 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Log hijackthis !!

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Log hijackthis !!

n°1707104
GenZo-w
Posté le 05-09-2004 à 15:51:15  profilanswer
 

Logfile of HijackThis v1.97.7
Scan saved at 15:35:03, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dllcon.exe
C:\WINDOWS\System32\taskmgr32.exe
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spools.exe
D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe
C:\WINDOWS\System32\wuamgrd65.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
D:\Video & Son\Son\Lecture\Winamp 5.03\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Software & reseau\Sécurité\Spyware\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Program Files\Common Files\midaddle\midaddle.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search - {2CF0B992-5EEB-4143-99C0-5297EF71F444} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [HRZq] C:\windows\temp\HRZq.exe
O4 - HKLM\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\Run: [Xuj] C:\documents and settings\admin\local settings\temp\Xuj.exe
O4 - HKLM\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\RunServices: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKCU\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKCU\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
 
 
-----------------------------
 
En fait certains trucs me paraissent suspects genre : xuj.exe, rsc.exe (parait que c'est un backdoor) et taskmgr32.exe (parait que c'est un worm). Merci beaucoup de votre aide  :D

mood
Publicité
Posté le 05-09-2004 à 15:51:15  profilanswer
 

n°1707114
acrobaze
Posté le 05-09-2004 à 16:00:14  profilanswer
 

O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Program Files\Common Files\midaddle\midaddle.dll  
O3 - Toolbar: Search - {2CF0B992-5EEB-4143-99C0-5297EF71F444} - (no file)  
O4 - HKLM\..\Run: [Microsoft Update Machine] wjizbizd.exe  
O4 - HKLM\..\Run: [MSN Update] dllcon.exe  
O4 - HKLM\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe  
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe  
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe  
O4 - HKLM\..\Run: [HRZq] C:\windows\temp\HRZq.exe  
O4 - HKLM\..\Run: [Microsoft IT Update] Rsc.exe  
O4 - HKLM\..\Run: [Xuj] C:\documents and settings\admin\local settings\temp\Xuj.exe  
O4 - HKLM\..\Run: [Shell Monitor] taskmgr32.exe  
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe  
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wjizbizd.exe  
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe  
O4 - HKLM\..\RunServices: [Microsoft Update 1Machine1] wuamgrd65.exe  
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe  
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe  
O4 - HKLM\..\RunServices: [Microsoft IT Update] Rsc.exe  
O4 - HKLM\..\RunServices: [Shell Monitor] taskmgr32.exe  
O4 - HKCU\..\Run: [Shell Monitor] taskmgr32.exe  
O4 - HKCU\..\Run: [Microsoft IT Update] Rsc.exe  
O4 - HKCU\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe  
O4 - HKCU\..\Run: [MSN Update] dllcon.exe  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
TOUS les *.exe des fins de lignes O4.
 
------------------------------------------
 
Poste un nouvel HijackThis.  
Parce que ce spools.exe n'est pas très net, non plus. On va voir.

n°1707120
acrobaze
Posté le 05-09-2004 à 16:06:01  profilanswer
 

C:\WINDOWS\System32\dllcon.exe  
C:\WINDOWS\System32\taskmgr32.exe  
C:\WINDOWS\System32\wuamgrd65.exe  
 
Voilà ceux que tu trouveras cerainement.
Les autres, ce sont peut-être d'anciennes infections, mais recherche-les quand même.
 
----------
Et spools.exe ne vaut pas un clou. Mais on verra après.

n°1707123
minipouss
un mini mini
Posté le 05-09-2004 à 16:11:44  profilanswer
 

GenZo-w a écrit :


 
C:\WINDOWS\System32\dllcon.exe
C:\WINDOWS\System32\taskmgr32.exe
 
à enlever, mais je ne sais pas si c'est pas plus virus que spy
 
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
 
spyware livré avec msn, à enlever
 
C:\WINDOWS\System32\spools.exe
 
saloperie dont le nom ressemble au vrai spoolsv.exe
 
C:\WINDOWS\System32\wuamgrd65.exe
 
saloperie aussi
 
O3 - Toolbar: Search - {2CF0B992-5EEB-4143-99C0-5297EF71F444} - (no file)
 
inutile je pense
 
O4 - HKLM\..\Run: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [HRZq] C:\windows\temp\HRZq.exe
O4 - HKLM\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\Run: [Xuj] C:\documents and settings\admin\local settings\temp\Xuj.exe
O4 - HKLM\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wjizbizd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] Rsc.exe
O4 - HKLM\..\RunServices: [Shell Monitor] taskmgr32.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Shell Monitor] taskmgr32.exe
O4 - HKCU\..\Run: [Microsoft IT Update] Rsc.exe
O4 - HKCU\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe


 
voila mais je serais toi je passerai d'abord un scan en ligne chez secuser par exemple car il doit y avoir des virus RBOT et agobot peut-être.
 
ensuite refais un scan de Hijack This pour voir ce qu'il reste dans tout ce que je t'ai dit. Puis tu arrêtes les processus malsains dans le gestionnaire de tâche et tu fix les lignes avec Hijack This
 
edit : oula t'es trop rapide pour moi Acrobaze sur ce coup là :D


Message édité par minipouss le 05-09-2004 à 16:13:10
n°1707130
acrobaze
Posté le 05-09-2004 à 16:16:16  profilanswer
 


Ben \Messenger Plus! 3, en lui-même semble être intéressant. Mais quand les gars l'installent, ils ne font pas attention et ils installent avec les trop fameux "sponsors".
Alors là, c'est galère.

n°1707137
minipouss
un mini mini
Posté le 05-09-2004 à 16:23:43  profilanswer
 

exact, d'accord avec toi. encore une fois :D
 
edit : en tout cas ça a l'air pas mal virus et un peu spyware tout ça.


Message édité par minipouss le 05-09-2004 à 16:24:10
n°1707144
GenZo-w
Posté le 05-09-2004 à 16:34:58  profilanswer
 

merci beaucoup je vais tester tout ça now  :)

n°1707148
acrobaze
Posté le 05-09-2004 à 16:40:03  profilanswer
 

minipouss a écrit :

edit : en tout cas ça a l'air pas mal virus et un peu spyware tout ça.


 
Faut bien amener un peu de variété...ce serait lassant!  :D

n°1707160
minipouss
un mini mini
Posté le 05-09-2004 à 16:50:56  profilanswer
 

clair [:darkmavis]

n°1707196
GenZo-w
Posté le 05-09-2004 à 17:20:38  profilanswer
 

Logfile of HijackThis v1.97.7
Scan saved at 17:19:14, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spools.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
E:\Software & reseau\Sécurité\Spyware\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
 
----------------------
 
Voici le new log... Alors pour spools.exe ? Je supprime également Msgplus.exe ?  :)

mood
Publicité
Posté le 05-09-2004 à 17:20:38  profilanswer
 

n°1707201
minipouss
un mini mini
Posté le 05-09-2004 à 17:24:23  profilanswer
 

essaye de récupérer Hijack This v 1.98.2 c'est le dernier sorti.
 
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\spools.exe  
 
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe  
 
je cherche pour le dp-him et le autoupdater ;) mais ils me semblent louches

n°1707203
acrobaze
Posté le 05-09-2004 à 17:26:46  profilanswer
 

O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe  
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"  
O4 - HKLM\..\Run: [Print Spooler] spools.exe  
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe  
O4 - HKCU\..\Run: [Print Spooler] spools.exe  
 
Donc pareil:
-Cocher les lignes
-Cliquer "Fix checked"
-Supprimer en mode ss échec:
 
C:\WINDOWS\uptodate.exe  
C:\Program Files\AutoUpdate <-dossier
C:\WINDOWS\System32\spools.exe  (à ne pas confondre avec spoolsv.exe)
 
Et ce sera clean!  :hello:

n°1707204
minipouss
un mini mini
Posté le 05-09-2004 à 17:28:05  profilanswer
 

pour le dp-him c'est ça : http://pestpatrol.com/pestinfo/d/dealhelper_com.asp mais tu n'as peut-être plus l'exe. de toute façon fixe le et recherche le fichier pour le virer ;)
 
par contre gearsec c'est avec itunes ;)


Message édité par minipouss le 05-09-2004 à 17:28:48
n°1707211
acrobaze
Posté le 05-09-2004 à 17:33:53  profilanswer
 

Yes....y'en a une floppée de dp-him!
http://research.pestpatrol.com/Ana [...] 001701.asp

n°1707219
minipouss
un mini mini
Posté le 05-09-2004 à 17:40:47  profilanswer
 

c'est justement là que je l'ai trouvé :) j'ai choisi celui qui se trouve dans le répertoire system32

n°1707245
acrobaze
Posté le 05-09-2004 à 17:54:00  profilanswer
 


Donc, pour synthétiser, que ce soit clair pour GenZo:
 
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe  
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe  
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"  
O4 - HKLM\..\Run: [Print Spooler] spools.exe  
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe  
O4 - HKCU\..\Run: [Print Spooler] spools.exe  
 
Donc pareil:  
-Cocher les lignes  
-Cliquer "Fix checked"  
-Supprimer en mode ss échec:  
 
C:\WINDOWS\uptodate.exe  
C:\Program Files\AutoUpdate <-dossier  
C:\WINDOWS\System32\spools.exe  (à ne pas confondre avec spoolsv.exe)  
C:\WINDOWS\System32\dp-him.exe  

n°1707246
GenZo-w
Posté le 05-09-2004 à 17:54:05  profilanswer
 

Je laisse gearsec alors ? Je sais que c'est pour graver avec iTunes mais est-ce-que c'est vraiment utile ? (désolé pour le retard mais je me bats au tel avec free !!)

n°1707248
acrobaze
Posté le 05-09-2004 à 17:54:47  profilanswer
 

Vois ci-dessus.

n°1707253
Slyde
Lizard of the Coast
Posté le 05-09-2004 à 17:57:05  profilanswer
 

http://hijackthis.de


---------------
Le topic du QLRR et FIRE - Knowledge is power. Power corrupts. Study hard, become evil.
n°1707258
acrobaze
Posté le 05-09-2004 à 17:58:47  profilanswer
 


 
Ha, oui! Il est marrant ce truc!  :lol:  :hello:

n°1707259
minipouss
un mini mini
Posté le 05-09-2004 à 17:59:11  profilanswer
 

oui on connait et on s'en sert un peu :D

n°1707278
GenZo-w
Posté le 05-09-2004 à 18:15:57  profilanswer
 

J'arrive pas à enlever spools.exe. J'ai pourtant coché et cherché en mode sans échec mais il revient ensuite...
 
Logfile of HijackThis v1.98.2
Scan saved at 18:12:18, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\spools.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
 
-----------------------------
 
D'ailleurs ça aussi c'est bizarre : O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

n°1707285
acrobaze
Posté le 05-09-2004 à 18:21:18  profilanswer
 

Essaye comme ceci :
 
ControlAltSuppr
 
Termine d'abord le processus spools.exe  
 
Puis reprend:
-cocher et fixer les lignes ds HijackThis
-suppression en mode ss échec.
 
-------
 
Oui, il reste 2/3 trucs à fixer, mais c'est mineur.
 
 
Edit : et s'il résiste, on sortira l'artillerie! Non, mais!  :lol:


Message édité par acrobaze le 05-09-2004 à 18:22:01
n°1707291
minipouss
un mini mini
Posté le 05-09-2004 à 18:26:33  profilanswer
 

c'est un service donc faut l'arrêter avant non?

n°1707300
GenZo-w
Posté le 05-09-2004 à 18:34:12  profilanswer
 

Logfile of HijackThis v1.98.2
Scan saved at 18:31:09, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [tcactive] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Software & reseau\Sécurité\Antivirus\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
 
------------------------------
 
Apparement c'est bon pour spools.exe donc on range l'artillerie  :lol:  
 
Autrement il reste encore quelques trucs à fix ? Je vous remercie pour votre aide très très précieuse  :jap:

n°1707305
acrobaze
Posté le 05-09-2004 à 18:37:05  profilanswer
 

Yes!
 
Donc ceci, à cocher et fixer, puis redémarrer:
 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)  
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)  
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  

n°1707310
minipouss
un mini mini
Posté le 05-09-2004 à 18:40:30  profilanswer
 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  est pas super utile non?
 
idem pour le update de java sun? :)

n°1707338
acrobaze
Posté le 05-09-2004 à 18:48:43  profilanswer
 


Oui, c'est même plombant...
 
Démarrer->exécuter->taper  msconfig
 
Décocher:
QuickTime\qttask.exe
\Real\Update_OB\realsched.exe
Java\j2re1.4.2_05\bin\jusched.exe  
 
Mais ça, ce ne sont pas des spywares.  
Bon, enfin, c'est une question de choix.

n°1707340
GenZo-w
Posté le 05-09-2004 à 18:49:42  profilanswer
 

Voilà tout est fait !! Merci beaucoup :)

n°1707343
acrobaze
Posté le 05-09-2004 à 18:50:52  profilanswer
 


C'est tout bon? A+, GenZo! :hello:

n°1707351
GenZo-w
Posté le 05-09-2004 à 18:56:15  profilanswer
 

Oui tout est bon apparement !! @+ et merci encore ! :D
 
Logfile of HijackThis v1.98.2
Scan saved at 18:55:46, on 05/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avsynmgr.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\VsStat.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Software & reseau\Sécurité\Antivirus\VirusScan 4.5.1Fr\Avconsol.exe
C:\WINDOWS\Explorer.EXE
D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
D:\Video & Son\Son\Lecture\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software & reseau\Internet\Browser\Acrobat Reader 5.1 Fr\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SOFTWA~1\SCURIT~1\Spyware\SPYBOT~1.2FR\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] D:\Video & Son\Son\Lecture\Winamp 5.03\winampa.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Steam] D:\Software & reseau\Jeux Vidéos\HL-CS\Steam\Steam.exe -silent
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab

n°1707358
minipouss
un mini mini
Posté le 05-09-2004 à 19:06:06  profilanswer
 

:lol: maintenant Msconfig est au démarrage  
 
A+ :hello:

n°1707373
acrobaze
Posté le 05-09-2004 à 19:13:21  profilanswer
 


Accepte le démarrage sélectif..."Ne plus afficher...."
pour faire disparaître msconfig.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Log hijackthis !!

 

Sujets relatifs
un ptit coup d oeil sur mon hijackthis? merci....rapport Hijackthis vos avis svp
probleme de spyware/ rapport hijackthispetit rapport HijackThis a verifier
page web qui souvre toute seul!coment la degager? log hitjackthisEcran noir juste avant l'invite de log de windows XP
Recherche programme de Logaide pour un log HijackThis siouplait
Demande d'analyse d'un log HijackThisCommenter un log de Hijackthis
Plus de sujets relatifs à : Log hijackthis !!


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR