Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Virus hijackthis à décrypter.

hijackthis à décrypter.

4 réponses
Avatar
Christian
Bonjour,
Suite à la lecture des news, je vous poste le contenu du fichier
hijackthis.log que je viens de réaliser.
J'espere trouver dans vos conseils une solution à mon probleme qui doit être
lié à un adwares. (une fenêtre m'impose une
connection et une fenêtre publicitaire s'affiche ou si je suis connecté elle
s'affiche...)
Merci d'avance pour votre aide.
Christian



Logfile of HijackThis v1.99.0
Scan saved at 19:02:55, on 01/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\BacsTray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Apoint\Apntex.exe
E:\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\Ahead\InCD\InCD.exe
E:\Winamp\winampa.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\STK014\STK014M.exe
E:\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\navupdaterx.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\0_Trans C\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll (file missing)
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll (file missing)
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program
Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [MoneyStartUp10.0] "E:\MS Money\System\Activation.exe"
O4 - HKLM\..\Run: [GTablet] C:\PROGRA~1\GENIUS~1\GTablet.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet
Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program
Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN
Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [Microsoft Time Manager] bling.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] E:\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] E:\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers
communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series]
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus
Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [Microsoft Windows Secure Server] system.exe
O4 - HKLM\..\Run: [win] xwinxrpc32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor]
C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvugh32.exe
O4 - HKLM\..\Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM\..\Run: [Windows Update Auto Update] mswset.exe
O4 - HKLM\..\Run: [lZHS8o.exe] C:\windows\temp\lZHS8o.exe
O4 - HKLM\..\Run: [lZHS8o] c:\windows\temp\lZHS8o.exe
O4 - HKLM\..\RunServices: [Microsoft Time Manager] bling.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Secure Server] system.exe
O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe
O4 - HKLM\..\RunServices: [Windows Update Auto Update] mswset.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] navupdaterx.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate]
E:\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"
/background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [NAV Auto Updates] navupdaterx.exe
O4 - Startup: MS Outlook.lnk = E:\MS Office\Office\OUTLOOK.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\MS Office\Office\OSA9.EXE
O4 - Global Startup: STK014 PNP Monitor.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
(file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} -
E:\MS Money\System\mnyviewer.dll
O9 - Extra button: eBay - Homepage -
{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - E:\IrfanView\Ebay\Ebay.htm (file
missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\MSMSGS.EXE
O16 - DPF: {30A3CCA5-F34C-4E87-BB57-5A2F2C935E14} (AMI DicomDir TreeView
Control 2.0) - file://D:\CDVIEWER\CdViewer.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
Class) -
http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) -
http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{43CAAB0B-A599-47F6-A4F0-84BA66BEEDAC}:
NameServer = 213.228.0.168 212.27.32.5
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program
Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Program
Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation -
C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program
Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique -
Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown -
C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown -
C:\WINDOWS\System32\imapi.exe
O23 - Service: InCD Helper - AHEAD Software - C:\Program
Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown -
C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec
Corporation - C:\Program Files\Norton Internet Security\Norton
AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Program
Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance -
Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation -
C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton
Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation -
C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Prise en charge des cartes à puces - Unknown -
C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation -
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program
Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown -
C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown -
C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown -
C:\WINDOWS\System32\wbem\wmiapsrv.exe
Signaler un problème avec ce contenu

4 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
joke0
Salut,

Christian:

[Diagnostic]

C:WINDOWSSystem32navupdaterx.exe


Celui-ci me semble hautement louche.

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL > http://searchmiracle.com/sp.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar > http://searchmiracle.com/sp.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page > http://searchmiracle.com/sp.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant > http://searchmiracle.com/sp.php


Cocher ça.

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} -
C:WINDOWSEliteToolBarEliteToolBar version 59.dll (file missing)
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} -
C:WINDOWSEliteSideBarEliteSideBar 08.dll (file missing)


Aussi.

O4 - HKLM..Run: [Microsoft Time Manager] bling.exe
O4 - HKLM..Run: [win] xwinxrpc32.exe
O4 - HKLM..Run: [kalvsys] C:windowssystem32kalvugh32.exe
O4 - HKLM..Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM..Run: [Windows Update Auto Update] mswset.exe
O4 - HKLM..RunServices: [Microsoft Time Manager] bling.exe
O4 - HKLM..RunServices: [Microsoft Windows Secure Server] system.exe
O4 - HKLM..RunServices: [win] xwinxrpc32.exe
O4 - HKLM..RunServices: [Windows Update Auto Update] mswset.exe
O4 - HKLM..RunServices: [NAV Auto Updates] navupdaterx.exe
O4 - HKCU..Run: [NAV Auto Updates] navupdaterx.exe


Ça ressemble fortement à un/des vers IRC: Rbot ou autre. En tout
cas, ce ne sont pas des fichiers windows.

[Nettoyage]

Tu coches tous ça, puis: "Fix Checked". Tu fais ça depuis le
mode sans échec (étape 3) sinon ce ne sera pas efficace.

Tu zippes tous les fichiers suspects et tu les supprimes. Tu
fais analyser les fichiers là pour être certain:
http://virusscan.jotti.dhs.org/

et/ou en zip ici: http://www.kaspersky.com/fr/scanforvirus
(si un fichier n'est pas detecté, tu me l'envoies ce zip)

1- Désactivez la restauration système (sous WinME et XP
uniquement). Aide:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5

2- Redémarrez en mode sans échec (touche F8 au tout début du
chargement de Windows, choix "safe mode" ou "mode sans échec")

Ne pas lancer Internet Explorer et Outlook Express.

3- Effacez le(s) fichier(s) détectés si possible. Passez un coup
d'antivirus (configuré en mode désinfection automatique),

4- Remettre la restauration système lorsque le ménage est fait.
Évitez de la remettre en "automatique".

5- Redémarrer normalement.

</copié>


--
joke0

Avatar
Christian
Bonjour et merci beaucoup pour ton aide.

Pour commencer, je t'informe que je ne connais pas l'Anglais.

J'ai essayé de respecter tes consignes néanmoins, certains fichiers
subsistent et j'ai dû rater le "zippage"

Quelques constatations :

Je ne le trouve pas dans l'emplacement détecter par hijackthis ni en
recherche sur mon PC.

C:WINDOWSSystem32navupdaterx.exe



Ils reviennent systématiquement :

O4 - HKLM..Run: [NAV Auto Updates] navupdaterx.exe

O4 - HKLM..RunServices: [NAV Auto Updates] navupdaterx.exe



O4 - HKCU..Run: [NAV Auto Updates] navupdaterx.exe

Dans system32, il y a un fichier windupdates.exe ne serait-il pas la cause ?



Quand penses-tu ? Merci.



Certains fichiers à détruire étaient présent dans le répertoire
C:/Windows/perfetch. Ce répertoire contient 121 fichiers .pf dont un fichier
Layout.ini.

Y a t-il besoin de faire le ménage dans ce fichier ?



Par ailleurs, que t'inspire ces fichiers :

O4 - HKLM..Run: [lZHS8o.exe] C:windowstemplZHS8o.exe

O4 - HKLM..Run: [lZHS8o] c:windowstemplZHS8o.exe



Merci pour tes conseils

Cordialement

Christian
Avatar
joke0
Salut,

Christian:
C:WINDOWSSystem32navupdaterx.exe


Alors modifie l'affichage de l'explorateur: Outils > Options:
Affichés tous les fichiers (même les fichiers cachés)

Ils reviennent systématiquement :
O4 - HKLM..Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM..RunServices: [NAV Auto Updates] navupdaterx.exe


Cf. ci dessus. Tu es bien en mode sans échec quand tu cherches à les virer?

Dans system32, il y a un fichier windupdates.exe ne serait-il
pas la cause ?


Tu peux le virer aussi.

Y a t-il besoin de faire le ménage dans ce fichier ?


Tu vires ceux qui sont détectés, maias pas plus pour ce réperoire.

Par ailleurs, que t'inspire ces fichiers :

O4 - HKLM..Run: [lZHS8o.exe] C:windowstemplZHS8o.exe
O4 - HKLM..Run: [lZHS8o] c:windowstemplZHS8o.exe


A virer. C'est un répertoire temporaire, aucun processus légitime ne s'y lancerait.

--
joke0

Avatar
Christian
Bonjour joke0,
Suite à tes remarques je te communique les résultats :

C:WINDOWSSystem32navupdaterx.exe (FAIT ET REUSSI)
Alors modifie l'affichage de l'explorateur: Outils > Options:

Affichés tous les fichiers (même les fichiers cachés) JE L'AVAIS FAIT MAIS
IL FALLAIT EGALEMENT DECOCHER "MASQUER LES FICHIERS PROTEGES DU SYSTEME

D'EXPLOITATION"

Ils reviennent systématiquement :
O4 - HKLM..Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM..RunServices: [NAV Auto Updates] navupdaterx.exe
Cf. ci dessus. Tu es bien en mode sans échec quand tu cherches à les

virer? OUI J'AVAIS ESSAYE LES DEUX DANS UN PREMIER TEMPS

APRES AVOIR REUSSI A DETRUIRE EN MODE SANS ECHEC
C:WINDOWSSystem32navupdaterx.exe? J'AI COCHER
O4 - HKLM..Run: [NAV Auto Updates] navupdaterx.exe
O4 - HKLM..RunServices: [NAV Auto Updates] navupdaterx.exe
AU REDEMARRAGE NORMAL, LE 1er ETAIT TOUJOURS PRESENT. J'AI RELANCE
HIJACKTHIS ET JE L'AI COCHE EN MODE NORMAL ET CETTE FOIS IL A DISPARU. J'AI
REDEMARRER POUR VERIFIER ILS ONT TOUS ETE TUES...

Dans system32, il y a un fichier windupdates.exe ne serait-il
pas la cause ?
Tu peux le virer aussi. (FAIT)


C:/Windows/perfetch
Y a t-il besoin de faire le ménage dans ce fichier ?
Tu vires ceux qui sont détectés, mais pas plus pour ce répertoire. (OK)


Par ailleurs, que t'inspire ces fichiers :
O4 - HKLM..Run: [lZHS8o.exe] C:windowstemplZHS8o.exe
O4 - HKLM..Run: [lZHS8o] c:windowstemplZHS8o.exe
A virer. C'est un répertoire temporaire, aucun processus légitime ne s'y

lancerait. (FAIT)


Pour l'heure tous semble être revenu normale mais pour combien de temps...
Quoi qu'il en soit je te remercie pour tes conseils et ton aide.
Cordialement
Christian