Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Virus [help] log Hijackthis

[help] log Hijackthis

16 réponses
Avatar
Kres
bon, voilà.
qd j'ouvre IE, ça me met une pseudo page de garde avec une imitation de
microsoft (genre "home search" avec tous les liens vers tous les spamers de
la galaxie : viagra, crédit, casino, etc ...)

Voici le log et merci pour votre aide
(ps: quelle est l'adresse web qu'avait créée Joke0 en expliquant comment
tuer ces bêtes ? (je crois qu'il faut désactiver un firewall ou quoi, car ça
m'est déjà arrivé il y a 3 mois)

Logfile of HijackThis v1.98.2
Scan saved at 10:44:19, on 14/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\apian32.exe
C:\WINDOWS\winpr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\Guiblouck\Local Settings\Temp\Répertoire
temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
http://www.windowws.cc/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\fgnum.dll/sp.html#78078
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\fgnum.dll/sp.html#78078
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
res://C:\WINDOWS\fgnum.dll/sp.html#78078
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\fgnum.dll/sp.html#78078
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\fgnum.dll/sp.html#78078
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
res://C:\WINDOWS\fgnum.dll/sp.html#78078
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
res://C:\WINDOWS\fgnum.dll/sp.html#78078
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: (no name) - {241F4AD4-BEDA-EE12-A99D-3A6CB9B33A5F} -
C:\WINDOWS\system32\msmo32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network
Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network
Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [apian32.exe] C:\WINDOWS\system32\apian32.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no
file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} -
http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no
file) (HKCU)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O14 - IERESET.INF: START_PAGE_URL=www.packardbell.fr/center
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program
Files\Internet Explorer\rwldvesi.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-222222222222} -
ms-its:mhtml:file://d:\foo.mht!http://t058.com/inst//x.chm::/open.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} -
ms-its:mhtml:file://C:\path.mht!http://64.200.26.76/d1/arctbg.chm::/AWM123.e
xe
O17 -
HKLM\System\CCS\Services\Tcpip\..\{79427940-B944-4D5E-9544-FD1D01B18519}:
NameServer = 80.10.246.1 80.10.246.132
Signaler un problème avec ce contenu

6 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2
Avatar
joke0
Salut,

Kres:
Au fait les noms de chevaux de Troie sont
apibn.exe, crfk.exe, crtj32.exe, ipfj32.exe, msyg32.Exe,
netvo.exe, wbk15.tmp, wbk17 et 19.tmp


Ce sont les noms de fichiers. Ils sont probablement aléatoire.
Il faillait donner le nom sous lequel ton AV les détecte.

--
joke0

Avatar
joke0
Salut,

Kres:
C'est possible de désinstaller IE 5 puis de le réinstaller ?
Je ne sais plus quoi faire ...


IE est tellement incrusté dans le système que ça ne changera
rien. D'autant plus que la bestiole sera toujours là, à l'affût.

--
joke0

Avatar
joke0
Salut,

Kres:

O2 - BHO: (no name) - {F788C710-0706-6771-0DCE-08D58D7F24E0} -
C:WINDOWSsystem32javaae.dll


Celui-là.

Il faut que tu éradiques toutes les souches, sinon il revient immanquablement.

A mon avis, si tu coches la case qui va bien dans VirusScan, il le détectera:
http://vil.nai.com/images/VSE7-ODS-PROGRAM.gif


Voilà ce qui doit rester:

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL > about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page > R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page > R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Wanadoo
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName > Liens
R3 - Default URLSearchHook is missing

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [EM_EXEC] C:PROGRA~1MOUSEW~1SYSTEMEM_EXEC.EXE
O4 - HKLM..Run: [ShStatEXE] "C:Program FilesNetwork
AssociatesVirusScanSHSTAT.EXE" /STANDALONE
O4 - HKLM..Run: [McAfeeUpdaterUI] "C:Program FilesNetwork
AssociatesCommon FrameworkUpdaterUI.exe" /StartedFromRunKey
O4 - HKLM..Run: [WooCnxMon] C:PROGRA~1WanadooCnxMon.exe
O4 - HKLM..Run: [WOOWATCH] C:PROGRA~1WanadooWatch.exe
O4 - HKLM..Run: [WOOTASKBARICON] C:PROGRA~1WanadooTaskbarIcon.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM
800-840dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:WINDOWSwebrelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} -
http://www.wanadoo.fr (file missing) (HKCU)

O13 - DefaultPrefix:
O13 - WWW Prefix:
O14 - IERESET.INF: START_PAGE_URL=www.packardbell.fr/center


--
joke0

Avatar
Kres
Ok merci. Je m'en occuperai demain, et je te tiens au courant

Bonne soirée et encore merci pour ta patience.
Avatar
Kres
Ok j'irai voir demain. Merci

Au fait, je croyais qu'un truc comme Kerio évitait ce genre de mésaventure ?
ou est-ce qu'il faut que je passe à XP SP2 ? ou que j'installe autre chose ?

"robert 67" a écrit dans le message de news:
41bf3631$0$3789$

"Kres" a écrit dans le message de news:
41bf07c3$0$22346$

ça marche tjs pas. J'ai tjs cette p.. de page de garde avec la
fenêtre qui
s'ouvre, et me dit que je suis infecté et qu'il faut que j'achtète
gratuitement un spyware.

Bonjour

Alors la vous n etes pas sorti de l auberge
J ai mis un certain nombre d heures a me debarasser de cette salete
Tous les utilitaires que j ai essayes ont ete inefficaces
La seule methode est la methode manuelle preconisee ici

http://www.echu.org/portail/modules/sections/index.php?op=viewarticle&artid 23

mais c est long et laborieux .
Sachant que ces Hijack creent des nouveaux fichiers a
chaque fermeture de Win vous devez probablement avoir de nombreux
.exe (ainsi qu une flopee de .dll .log .dat ) sous windows et
windowssystem32 qu il faudra eliminer en mode sans echec
obligatoirement et sans parler des reboot sauvages (en coupant le
courant)
pour eviter la creation d un nouvel .exe a eliminer
(sinon c est le serpent qui se mord la queue)
Bon courage
Robert67





Avatar
Kres
Bon, finalement, j'ai laissé tombé pour le moment.
J'ai installé Mozilla, et du coup les chevaux de troie restent tranquilles !
...

Meric et A+
1 2