scan hijack this demandes (ausecours)
Forum Sécurité - Virus : scan hijack this demandes (ausecours)
salut, j'ai telecharger un truc louche et je l'ai installer apramment j'aurais vraiment pas du,
si quelqu'un pouvait maider a fixer les merdes ca serait super sympa
voici le resultat de mon scan:
Logfile of HijackThis v1.99.1
Scan saved at 17:02:07, on 14/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\sys2349.exe
C:\WINDOWS\system32\paytime.exe
C:\DOCUME~1\THEPOL~1\LOCALS~1\Temp\winnnint.exe
C:\WINDOWS\system32\winnsyste.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\system32\isasse.exe
C:\WINDOWS\system32\sccvhost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\svphost.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\thePOLISHcrew\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [sys2349] C:\WINDOWS\system32\sys2349.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [WindowsUpdate] "C:\DOCUME~1\THEPOL~1\LOCALS~1\Temp\winnnint.exe"
O4 - HKLM\..\Run: [MSControl31] winnsyste.exe
O4 - HKLM\..\Run: [MSControl3d1] isasse.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] sccvhost.exe
O4 - HKLM\..\RunServices: [MSControl31] winnsyste.exe
O4 - HKLM\..\RunServices: [MSControl3d1] isasse.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] sccvhost.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] sccvhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] sccvhost.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] sccvhost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6590130578
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
merci d'avance !!!
bonjour,
je revien dans 20 linutes et j essaye de t'aider ok?
il y aura plus que des lignes a fixer vue tout les processus qu'il a il sont pas tous bon en plus bon a toute.
Amicalement ^__^
ok
j'ai degager quelques merde mais il m'en restes qq'es unes :
Logfile of HijackThis v1.99.1
Scan saved at 18:00:22, on 14/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\thePOLISHcrew\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [WindowsUpdate] "C:\DOCUME~1\THEPOL~1\LOCALS~1\Temp\winnnint.exe"
O4 - HKLM\..\Run: [MSControl31] winnsyste.exe
O4 - HKLM\..\Run: [MSControl3d1] isasse.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] sccvhost.exe
O4 - HKLM\..\RunServices: [MSControl31] winnsyste.exe
O4 - HKLM\..\RunServices: [MSControl3d1] isasse.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] sccvhost.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] sccvhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] sccvhost.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] sccvhost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6590130578
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{187A0517-DFC4-49E9-84B2-20DFD9116F06}: NameServer = 212.151.136.242 130.244.127.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{187A0517-DFC4-49E9-84B2-20DFD9116F06}: NameServer = 212.151.136.242 130.244.127.169
notamment le svphost et l'autre
c'est bien ta viré pas mal de truck ^^
tu va dans (Ctrl + Alt + Suppr) et tu termine le processus svphost.exe
Relance un scan HijackThis et coche les lignes ci-dessous :
O4 - HKLM\..\Run: [WindowsUpdate] "C:\DOCUME~1\THEPOL~1\LOCALS~1\Temp\winnnint.exe"
O4 - HKLM\..\Run: [MSControl31] winnsyste.exe
O4 - HKLM\..\Run: [MSControl3d1] isasse.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] sccvhost.exe
O4 - HKLM\..\RunServices: [MSControl31] winnsyste.exe
O4 - HKLM\..\RunServices: [MSControl3d1] isasse.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] sccvhost.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] sccvhost.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] sccvhost.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] sccvhost.exe
ensuite tu va dans ajout /sup et tu vire si il y est :
Microsoft Windows Update
je viens de faire tout ce que tu dis logiquement ca devrait aller maintenant,
MERCI ENORMEMENT
y'avait pas de windows update, le prog dont tu me parles serait un fake du vrai windows update ???
heu lorana pk .0 ??
si j'ai di quelque chose ou une manipe mauvaise ve bien que l'on me corrige j 'appreld je suis pas un exper non plus.
je sais pas c'est souvent que je le vois sur les log a probleme et souvent en le viran sa va mieu ^^
nettoie ton ordi avec crap cleaner ou un autre programme pour etre sur qu'il soit bien propre
Amicalement ^__^
non désolé jai fait un mauvais edit , je voulais simplement dire que par respect pour celui qui intérpréte le log , il est sympa d'attendre le résultat avant de reposter un nouveau log.
Logfile of HijackThis v1.99.1
Scan saved at 18:35:07, on 14/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\thePOLISHcrew\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.passport.net/uilogin.srf?lc=1036&id=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6590130578
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{187A0517-DFC4-49E9-84B2-20DFD9116F06}: NameServer = 212.151.137.166 130.244.127.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{187A0517-DFC4-49E9-84B2-20DFD9116F06}: NameServer = 212.151.137.166 130.244.127.161
logiquement ca devrait aller je pense qu'il est clean j'avais passer un coup de adaware, et de panda et ils etaient censé avori jarter des trucs mais apparamment pas vu que j'avais tjs les memes merdes.
fixe la ligne 04 avec windows installer
je cherche un truck pour le viré
je re
c'est laquelle la ligne 4 ?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php ?
avec windows installer ?
késsé ?
dsl fixe cette ligne :
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
je suis entrin de regarder quelque chose je croi ke ta une salo... a virer
a Toute
non c bon ton log et clean.
ta d'autre probleme?
logiquement j'ai pas de prbs software apparamment tout le reste marche !mercciiii encorrreee
Il y a 379 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
