[ok] LOG

genevieveR · Message par **genevieveR** » 18 mars 2006, 00:43:34

bonjour à tous, ayant eu des problèmes avec mon pc, j'ai fait un log avec Hijackthis;
pourriez vous me dire si tout est OK?
Merci.

------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 00:44:04, on 18/03/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\mousepad3.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr\msnappau.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Documents and Settings\perso\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: RawExecAction Object - {18898424-E3AB-4BA9-8E8D-5434B1CECA75} - C:\WINNT\System32\awvvs.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TIAP] C:\windows\eee2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [>G9a] C:\windows\eee2.exe
O4 - HKLM\..\Run: [Workflow] E:\Workflow.exe
O4 - HKLM\..\Run: [Installed] 114
O4 - HKLM\..\Run: [newname] C:\\newname3.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad3.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe
O4 - HKLM\..\Run: [HEIM] C:\windows\eee2.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr\msnappau.exe"
O4 - HKCU\..\Run: [Ppom] "C:\Program Files\rcte\eesc.exe" -vt yazb
O4 - HKCU\..\Run: [mquf] C:\PROGRA~1\FICHIE~1\mquf\mqufm.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinFixer2005] "C:\Program Files\WinFixer 2005\uwfx5.exe" /min
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - http://www.alternatiff.com/install/00/alttiff.cab
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab
O20 - Winlogon Notify: AdminDebug - C:\WINNT\system32\l86o0ij3e8o.dll (file missing)
O20 - Winlogon Notify: awvvs - C:\WINNT\System32\awvvs.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINNT\System32\wuapi.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

Thierryiv · Message par **Thierryiv** » 18 mars 2006, 09:19:22

Salut

Tu peux effacer la ligne:

R3 - Default URLSearchHook is missing

O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab

Mais tu n' as rien de vraiment mechant, juste une barre de recherche avec des spywares.

alain51 · Message par **alain51** » 18 mars 2006, 09:23:22

Salut,

D'abord, téléchargement d'outils pour la désinfection :
Télécharger Process XP ici :
http://www.sysinternals.com/files/procexpnt.zip

Télécharger : Pocket Killbox ici :
http://www.downloads.subratam.org/KillBox.exe

---------------------------------------------------------------------------------------

Si tu as le Tea Timer de Spybot :
Désactive le le temps de la manip.
lance Spybot >mode avancé> outils >> résident
Décoche la case résident "tea timer"
referme Spybot

---------------------------------------------------------------------------------------

Déconnecte toi du net.
Ferme tous les programmes en cours (média player, internet explorer, ...etc)

Dézippe (clic droit > extraire) Process XP et double-clique sur processxp.exe

* Dans la fenêtre principale de processxp double-clique sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
Sélectionne seulement awvvs.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec [ok]

* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement awvvs.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec [ok]

---------------------------------------------------------------------------------------

Tu relances hijackthis, tu coches ces lignes et tu cliques sur fixer :

R3 - Default URLSearchHook is missing
O2 - BHO: RawExecAction Object - {18898424-E3AB-4BA9-8E8D-5434B1CECA75} - C:\WINNT\System32\awvvs.dll
O4 - HKLM\..\Run: [TIAP] C:\windows\eee2.exe
O4 - HKLM\..\Run: [>G9a] C:\windows\eee2.exe
O4 - HKLM\..\Run: [Installed] 114
O4 - HKLM\..\Run: [newname] C:\\newname3.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad3.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe
O4 - HKLM\..\Run: [HEIM] C:\windows\eee2.exe
O4 - HKCU\..\Run: [Ppom] "C:\Program Files\rcte\eesc.exe" -vt yazb
O4 - HKCU\..\Run: [mquf] C:\PROGRA~1\FICHIE~1\mquf\mqufm.exe
O4 - HKCU\..\Run: [WinFixer2005] "C:\Program Files\WinFixer 2005\uwfx5.exe" /min
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab
O20 - Winlogon Notify: AdminDebug - C:\WINNT\system32\l86o0ij3e8o.dll (file missing)
O20 - Winlogon Notify: awvvs - C:\WINNT\System32\awvvs.dll

---------------------------------------------------------------------------------------

Double clic sur killbox.exe (Pocket Killbox)

- coche : Delete on reboot
- Dans "Full Path of File to Delete"
copie et colle :

C:\WINNT\System32\awvvs.dll

- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer, clique sur YES

Laisse le PC redémarrer.
Si tu as un message: "pending file rename operations registry data has been removed by external process.", ignore-le, et redémarre ton PC manuellement.

---------------------------------------------------------------------------------------

Tu vas dans le panneau de configuration/Ajout suppression de programmes,
tu cherches winfixer2005 et tu le désinstalles.

---------------------------------------------------------------------------------------

Dans ton explorateur windows, clique sur Outils, Options de dossiers, onglet affichage,
Coche "Afficher les fichiers et dossiers cachés"
Décoche "Masquer les extensions des fichiers dont le type est connu"
Décoche "Masquer les fichiers protégés du système"

Tu supprimes ce qui est en gras :
C:\windows\eee2.exe
C:\\newname3.exe
C:\\mousepad3.exe
C:\\keyboard3.exe
C:\Program Files\rcte\eesc.exe
C:\PROGRA~1\FICHIE~1\mquf\mqufm.exe (Le dossier)
C:\Program Files\WinFixer 2005\uwfx5.exe (Le dossier)

Tu fais une recherche de 114 et tu supprimes (Démarrer/Rechercher -- fichiers ou dossiers )

---------------------------------------------------------------------------------------

Tu vas dans démarrer/Exécuter et tu écris cleanmgr
et tu fais le ménage.
Tu vides ta corbeille.
Tu refais un scan avec hijackthis et tu repostes un log.

alain51 · Message par **alain51** » 18 mars 2006, 10:29:03

A propos de winfixer, c'est un faux utilitaire que tu as installé.

Sur le site de l'éditeur, ils le décrivent comme un logiciel tres intéressant!
Il se propose de réparer les fichiers corrompus, de détecter et réparer les erreurs des disques, de faire le ménage dans la base de registre etc...

Mais c'est un vrai malware !

Il entraîne des dysfonctionnements sur le systeme : démarrage plus long, navigation internet plus lente, plantage fréquent du systeme et des applications, ressources systeme anormalement élevées, modification des valeurs dans le registre, ouvertures intempestifs de pop-up nous alertant que nous sommes infectés, changement du wallpaper...

S'il n'est pas dans le menu de désinstallation de programmes,
tu télécharges spybot si tu ne l'as pas, tu l'installes et tu le mets à jour,
si tu l'as, tu le mets à jour. (Il reconnait et supprime winfixer)
http://www.safer-networking.org/fr/download/index.html

Pc à scanner en mode sans échec.

Informatique Pratique

[ok] LOG

[ok] LOG

Qui est en ligne