[LONG]Un p'tit coup de HiJack !

7 réponses

JEFF

22/11/2004 à 19:44

Bonjour les gens,
Je viens de réinstaller HiJackThis. Mon système a été réinstallé il y a
3 semaines, mais Spybot 1.3 m'a déjà repéré 5 malwares ... Du coup,
j'ai passé HiJack.
Comme recommandé, si des experts de la chose pouvaient me dire quoi
virer et surtout quoi NE PAS virer dans la liste, ça serait sympa !

Prêts ?
Go ...

================================
Logfile of HijackThis v1.97.7
Scan saved at 19:37:50, on 22/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\Program Files\DAP\DAP.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\explorer.exe
F:\Téléchargements\Sauvegarde\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Liens
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7}
- (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} -
C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} -
C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no
file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disc Detector] C:\Program
Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program
Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program
Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program
Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program
Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program
Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE
/STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers
communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P
Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Program Files\Common
files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft
IntelliPoint\point32.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"
/background
O4 - HKCU\..\Run: [Mozilla Quick Launch]
"C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE" -turbo
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search &
Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers
communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk =
C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program
Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Program
Files\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: &Download with &DAP -
C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &NeoTrace It! -
C:\PROGRA~1\NEOTRA~2\NTXcontext.htm
O8 - Extra context menu item: Download &all with DAP -
C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} -
http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash
Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{B1FEFBA2-6C95-4296-B234-84B00A40EB6E}:
NameServer = 80.10.246.1 80.10.246.132

--
*Le meilleur des NewsReaders* !
EXCLUSIVEMENT réservé aux News.
En français, gratuit, facile d'utilisation, souple ...
http://www.zoo-logique.org/mesnews/chargement.php
FAQ : http://pagesperso.laposte.net/laboyse/Faq/MesNews/Faq-MN.htm

7 réponses

Claude LaFrenière[climenole]

22/11/2004 à 19:48

Bonjour *JEFF* vous avez écrit :

Bonjour les gens,
Je viens de réinstaller HiJackThis. Mon système a été réinstallé il y a
3 semaines, mais Spybot 1.3 m'a déjà repéré 5 malwares ... Du coup,
j'ai passé HiJack.
Comme recommandé, si des experts de la chose pouvaient me dire quoi
virer et surtout quoi NE PAS virer dans la liste, ça serait sympa !

Prêts ?
Go ...

=============================== > Logfile of HijackThis v1.97.7

COOUUIIIIIC !

Va le faire analyser là:
http://www.hijackthis.de/index.php?langselect=french

Tu as des trucs à virer ...

:)

P.S. consulte aussi ce site:
http://sebsauvage.net/safehex.html

--
:-) Claude LaFrenière [MVP] 2004-11-22 13:46:20 HNE GMT -5 :-)

Courriel : http://cerbermail.com/?FslokTsjQ7
Journ'Él : http://www.livejournal.com/users/climenole/

« My principal Design was to Inform, and not to amuse thee »
Captain Lemuel Gulliver, The Travels (IV:12)

JacK [MVP]

22/11/2004 à 20:00

sur les news:
Salut JEFF qui signalait:

Bonjour les gens,
Je viens de réinstaller HiJackThis. Mon système a été réinstallé il y
a 3 semaines, mais Spybot 1.3 m'a déjà repéré 5 malwares ... Du coup,
j'ai passé HiJack.
Comme recommandé, si des experts de la chose pouvaient me dire quoi
virer et surtout quoi NE PAS virer dans la liste, ça serait sympa !

Prêts ?
Go ...

Indépendamment du fait que tu as des tas de programmes inutiles lancés au
démarrage, à virer :

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7}
- (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} -
C:Program FilesMyWaymyBar1.binMYBAR.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no
file)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
C:Program FilesMyWaymyBar1.binMYBAR.DLL
O4 - HKLM..Run: [UpdReg] C:WINDOWSUpdreg.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [P2P Networking] C:WINDOWSSystem32P2P
NetworkingP2P Networking.exe /AUTOSTART
O4 - HKLM..Run: [SearchUpgrader] C:Program FilesCommon
filesSearchUpgraderSearchUpgrader.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer)
--
http://www.optimix.be.tf /MVP Windows Security/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

Zaza

22/11/2004 à 20:08

Claude LaFrenière[climenole] a utilisé son clavier pour écrire :

Va le faire analyser là:
http://www.hijackthis.de/index.php?langselect=french

moi je connais un bon psy :D

Claude LaFrenière[climenole]

22/11/2004 à 22:42

Bonjour *Zaza* vous avez écrit :

Claude LaFrenière[climenole] a utilisé son clavier pour écrire :

Va le faire analyser là:
http://www.hijackthis.de/index.php?langselect=french

moi je connais un bon psy :D

:-D))))
--
:-) Claude LaFrenière [MVP] 2004-11-22 16:42:10 HNE GMT -5 :-)

Courriel : http://cerbermail.com/?FslokTsjQ7
Journ'Él : http://www.livejournal.com/users/climenole/

« My principal Design was to Inform, and not to amuse thee »
Captain Lemuel Gulliver, The Travels (IV:12)

JEFF

23/11/2004 à 18:20

Bonjour. Voici ce qu'a récemment (le lundi 22/11/2004) dit *JacK [MVP]*
pour méritationner que je lui répondisse :

Je viens de réinstaller HiJackThis. Mon système a été réinstallé il y
a 3 semaines, mais Spybot 1.3 m'a déjà repéré 5 malwares ... Du coup,
j'ai passé HiJack.
Comme recommandé, si des experts de la chose pouvaient me dire quoi
virer et surtout quoi NE PAS virer dans la liste, ça serait sympa !

Prêts ?
Go ...

Indépendamment du fait que tu as des tas de programmes inutiles lancés au
démarrage, à virer :

OK, je vais faire tout ça, alors !
Virer les conneries du démarrage et soumettre la liste chez nos voisins
teutons !
Merci à tous !

--
La devise des Kennedy ?
"Ne pas se laisser abattre".
(San-Antonio)

JEFF

23/11/2004 à 18:21

Bonjour. Malgré son air somnolent et ses yeux mi-clos, *Claude
LaFrenière[climenole]* nous asséna vigoureusement ceci en ce lundi
fêtant Sainte Cécile :

Va le faire analyser là:
http://www.hijackthis.de/index.php?langselect=french

Tu as des trucs à virer ...

Certes !!! mdr

P.S. consulte aussi ce site:
http://sebsauvage.net/safehex.html

Ca roule, je fais ça aussi !
Merci !

--
Puisque notre destin commun est de finir dans un trou,
fasse le ciel qu'il ait du poil autour !
(San-Antonio)

JEFF

23/11/2004 à 18:42

Bonjour. Afin que nous le sachiassions tous, le lundi 22/11/2004, qui
fête Sainte Cécile, *Claude LaFrenière[climenole]* nous expectora ceci
:

Va le faire analyser là:
http://www.hijackthis.de/index.php?langselect=french

Tu as des trucs à virer ...

:)

P.S. consulte aussi ce site:
http://sebsauvage.net/safehex.html

Et voila, c'est fait !
Rapide et impressionnant !!!
Le site de HiJack, en français est impressionnant aussi ...
Résultat, presque pas de merdasses dans mes DD (normal, heureusement,
après un Spybot et avec deux DD neufs ...). Juste deux conneries dûes
au P2P.

Merci des tuyaux !

--
Il n'y a souvent que 5 minutes qui séparent
une femme qui baisse les bras, d'une femme
qui lève les jambes.
(San Antonio)

[LONG]Un p'tit coup de HiJack !

7 réponses

Veuillez sélectionner un problème