analyse de mon log hijack

analyse de mon log hijack - Sécurité - Windows & Software

Marsh Posté le 18-11-2005 à 20:13:55    

voila j'ai quelque petit souci sous windows et j'aimerai savoir si ca vient d'un virus, spy ou une autre de ces m*rde :D
 
voila mon log  
 
et merci de vos commentaires et comment résoudre les eventuel problème thx
 
Logfile of HijackThis v1.99.1
Scan saved at 20:09:59, on 18/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe
C:\Documents and Settings\Seb\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\DOCUME~1\Seb\LOCALS~1\Temp\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe /onboot
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All Links with IDM - C:\DOCUME~1\Seb\LOCALS~1\Temp\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\DOCUME~1\Seb\LOCALS~1\Temp\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D00A4305-1C23-45FA-84C5-690DFA73810E}: NameServer = 80.118.192.100 80.118.196.36
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
 

Reply

Marsh Posté le 18-11-2005 à 20:13:55   

Reply

Marsh Posté le 18-11-2005 à 20:15:45    

Faudrait dire exactement ce qui cloche...
Tu as fait une analyse online :gratgrat: ?


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 18-11-2005 à 20:15:53    

www.hijackthis.de  
 
 
tu le colles et tu l'analyses :)
 
edit grillaid


Message édité par Profil supprimé le 18-11-2005 à 20:16:11
Reply

Marsh Posté le 18-11-2005 à 20:16:56    

freds45> des logiciel qui ferme bizarremment,outlook!
 
merci kinderpingwi je faire ca de suite!

Reply

Marsh Posté le 18-11-2005 à 20:21:14    

voila après l'analyse online
 
C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe    
Inconnu   Tâche en cours. (KeyGen.exe)
 
   Tâche inconnue.  
 
 
O4 - HKCU\..\Run: [IDMan] C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe /onboot    
Inconnu    
Taux de précision: 10 % (Résultats)
   Programme inconnu.  
 
 O17 - HKLM\System\CCS\Services\Tcpip\..\{D00A4305-1C23-45FA-84C5-690DFA73810E}: NameServer = 80.118.192.100 80.118.196.36    
Eventuellement méchant   Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.
   Effacer si l’IP ou le domaine '80.118.192.100 80.118.196.36' ne vous est pas connu.  
 
 
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe    
Inconnu   Ces entrées montrent tous les services qui ne sont pas de Microsoft. Souvent malware démarre comme un service système et n’est pas facile à détecter.
   Service inconnu. (UAService7.exe)

Reply

Marsh Posté le 18-11-2005 à 20:23:45    

tu vires ça :
 
 
C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe    
Inconnu   Tâche en cours. (KeyGen.exe)
 
   Tâche inconnue.  
 
 
O4 - HKCU\..\Run: [IDMan] C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe /onboot    
Inconnu    
Taux de précision: 10 % (Résultats)
   Programme inconnu.  


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 18-11-2005 à 20:26:53    

ok merci freds45
 
le deuxième corrspond a idm mais le truc c'est que je n'ai pas de keygen sur ce prog :/
 
et le premier c'est quoi?

Reply

Marsh Posté le 18-11-2005 à 20:26:53    

Vires également tes fichiers temporaires internet ..  clic droit sur internet explorer puis propriétés supprimer les fichiers

Reply

Marsh Posté le 20-11-2005 à 20:41:02    

bonsoir hijacthis.de n est pas fiable fait ceci
 
telecharge lspfix et mets le de coter
 
fix ceci dans hijacthis
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
O4 - HKCU\..\Run: [IDMan] C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe /onboot  
 
assure toi d avoir acces au fichier cacher
 
demarrer/poste de travail/outils/option des dossiers/affichage/cocher les fichier cacher
 
supprime ceci
 
C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe /onboot  
 
lance lspfix et fait passer la dll  idmmbc.dll dela colonne keep a remove et clique sur finish ensuite redemare et reposte un log

Reply

Marsh Posté le 20-11-2005 à 22:07:48    

alessio a écrit :

bonsoir hijacthis.de n est pas fiable fait ceci
 
telecharge lspfix et mets le de coter
 
fix ceci dans hijacthis
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
O4 - HKCU\..\Run: [IDMan] C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe /onboot  
 
assure toi d avoir acces au fichier cacher
 
demarrer/poste de travail/outils/option des dossiers/affichage/cocher les fichier cacher
 
supprime ceci
 
C:\DOCUME~1\Seb\LOCALS~1\Temp\KeyGen.exe /onboot  
 
lance lspfix et fait passer la dll  idmmbc.dll dela colonne keep a remove et clique sur finish ensuite redemare et reposte un log


 
Oui pour le début : ces analyses ne sont pas fiables.  
 
Non pour la fin : idmmbc.dll  vient de Internet Download Manager.  

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed