besoin d'aide pour hijackthis

besoin d'aide pour hijackthis - Sécurité - Windows & Software

Marsh Posté le 06-05-2005 à 19:14:07    

salut a tous
j'ai besoin de votre aide si possible  pour maider a resoudre un probleme:
ca fait qques temps que j'ai plusieurs virus et autres (?) sur mon pc, je les supprimai regulierement mais jai fini par laisser courrir car revenant a chaque fois, mais le pc a de plus en plus de mal, je decide donc de faire un logfile avec hijackthis, mais n'y connaissant rien jaurai besoin de votre aide pour me dire qu'est ce qui ne va pas  
merci d'avance
 
logfile:
 
Logfile of HijackThis v1.99.1
Scan saved at 19:09:59, on 06/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\System32\netxd.exe
C:\Program Files\PD\shwicon.exe
C:\Program Files\Daily Weather Forecast\weather.exe
C:\Program Files\Bcrqffm\Mbmy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\danmeui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\csc71kor.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\Documents and Settings\HP_Propriétaire\Bureau\manu\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [\\JENNY\EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P49 "\\JENNY\EPSON Stylus Photo RX420 Series (Copie 1)" /O6 "USB002" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\System32\netxd.exe
O4 - HKLM\..\Run: [ShowIcon_The Company_USB Flash HDD Series Driver v1.17r022] "C:\Program Files\PD\shwicon.exe" -t"The Company\USB Flash HDD Series Driver v1.17r022"
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Vyuqaxo] C:\Program Files\Bcrqffm\Mbmy.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [rF3U34g] danmeui.exe
O4 - HKLM\..\RunOnce: [AAW] "C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [aos8RQMqi] csc71kor.exe
O4 - HKCU\..\Run: [System] C:\WINDOWS\csrss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_nos.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int5.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] dge-c8.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?li [...] lcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC2227D2-DF53-4E48-84B9-01E0FC873665}: NameServer = 213.228.0.23 212.27.32.176
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE


Message édité par manou180 le 06-05-2005 à 19:14:33

---------------
no thx
Reply

Marsh Posté le 06-05-2005 à 19:14:07   

Reply

Marsh Posté le 06-05-2005 à 19:20:59    

Salut,  
 
tout d'abord as tu un antivirus mis à jour et un firewall sur ton PC ?
 
Si oui, fais un scan.

Reply

Marsh Posté le 06-05-2005 à 19:23:44    

darren a écrit :

Salut,  
 
tout d'abord as tu un antivirus mis à jour et un firewall sur ton PC ?
 
Si oui, fais un scan.


 
si ad-aware est considéré comme un antivirus , oui , et a jour par contre non jai pas de fire wall


---------------
no thx
Reply

Marsh Posté le 06-05-2005 à 19:26:32    

sinon ué jai fait un scan sur le site rav antivirus (ou un truc comme ca), il me trouve des fichiers infectés mais impossible de les supprimer :(


---------------
no thx
Reply

Marsh Posté le 06-05-2005 à 19:28:07    

Ad-Aware n'est pas un antivirus et un firewall est très chaudement recommandé.
 
En gros, je voudrais m'assurer que tu as les outils indispensables à la protection de ton PC, sinon ça ne sert à rien qu'on se défonce la carcasse avec ton log HJT, les virus/spywares reviendront de toutes façons.
 
Va télécharger AVG Free Edition ICI et installe le, et mets le à jour.
 
Ensuite, télécharge Spybot ICI mets le à jour.
 
Fais un scan et dis moi quels virus/spy il trouve.

Reply

Marsh Posté le 06-05-2005 à 19:28:19    

manou180 a écrit :

sinon ué jai fait un scan sur le site rav antivirus (ou un truc comme ca), il me trouve des fichiers infectés mais impossible de les supprimer :(


 
Lesquels ?

Reply

Marsh Posté le 06-05-2005 à 19:29:33    

merci de te donner la peine de m'aider jvai faire cque tu m'a dit :)


---------------
no thx
Reply

Marsh Posté le 06-05-2005 à 19:39:04    

avec avg free ce qui est considéré comme virus c'est tous les objets ou c'est pas marqué ok ( par ex. les "system registry" ?)
de sur il y a les trojans :D


---------------
no thx
Reply

Marsh Posté le 06-05-2005 à 19:43:59    

Non, les virus ce sont les lignes en rouge, de toutes façons tu as une option "test results" à la fin de ton scan, il te dira précisément ce qu'il a detecté.

Reply

Marsh Posté le 06-05-2005 à 19:44:11    

manou180 a écrit :

si ad-aware est considéré comme un antivirus , oui , et a jour par contre non jai pas de fire wall


 
Apparemment tu utilises XP SP2.
Tu dois donc avoir le parefeu windows (--> aller dans panneau de configuration et vérifier qu'il est activé)

Reply

Marsh Posté le 06-05-2005 à 19:44:11   

Reply

Marsh Posté le 07-05-2005 à 20:22:06    

Bonsoir, télécharge et installe CleanUp
http://downloads.stevengould.org/cleanup/CleanUp40.exe
 
Désinstalle cette application via Ajout/Suppression de programmes (si elle est présente):
 
Daily Weather Forecast
 
Termine ces processus en ouvrant le gestionnaire de tâches (Alt-Ctrl-Supp)  
 
netxd.exe  
 
weather.exe  
 
Mbmy.exe  
 
danmeui.exe  
 
csc71kor.exe
 
 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes en gras suivantes  
 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\System32\netxd.exe  
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe  
O4 - HKLM\..\Run: [Vyuqaxo] C:\Program Files\Bcrqffm\Mbmy.exe  
O4 - HKLM\..\Run: [rF3U34g] danmeui.exe  
O4 - HKCU\..\Run: [aos8RQMqi] csc71kor.exe  
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)  
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_nos.exe  
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int5.exe  
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] dge-c8.cab  
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?li [...] lcid=0x409  
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab  
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b31267.cab

 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Démarre en mode sans échec (F8)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
 
C:\WINDOWS\System32\netxd.exe  
 
C:\Program Files\Daily Weather Forecast
 
C:\Program Files\Bcrqffm  
 
danmeui.exe < utiliser la fonction rechercher
 
csc71kor.exe< idem
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Lance CleanUp
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed