'Résolu' Aide pour HijackThis log

cobra501 · Post by **cobra501** » 14 Oct 2006, 23:33

Bonsoir
Mon garçon ma envoyer son log the Hijack, il ne peux pas accéder
l'internet son AVG ne cesse de détecter des virus qu'il ne peux supprimer
ou envoyer au coffre, il a une barre de recherche qui c'est installer et le
dirige vers des sites porno,il ne peux faire de scan en ligne car son Internet coupe avant d'avoir fini avec Ewido, il enlève ce que sont Antispyware trouve mais tout reviens , je lui ai fait désactiver ses points
de restauration ceux-ci était inutilisable,
La derniere ligne 04 serai a supprimer ainsi que les lignes 015et 016, mais pourriez vous me dire si il y aurrais autres choses.......Merci

Voici le log.
Logfile of HijackThis v1.99.1
Scan saved at 12:43:54, on 2006-10-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\DOCUME~1\Jef\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSL encrypt - {746455FE-D059-47e7-AF0E-140E03F5A447} - C:\WINDOWS\system32\nsp4.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dmick.exe] C:\WINDOWS\system32\dmick.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.mmohsix.com
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5526B4C6-63D6-41A1-9783-0FABF529859A} (mm06ocx.mm06ocxf) - http://cabs.media-motor.net/cabs/joysaver.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28588A67-5807-4EF2-A0B6-4410E53A0ED5}: NameServer = 85.255.116.59,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{41E593A8-7A92-4616-8453-564CE7FA9D22}: NameServer = 85.255.116.59,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FBE66B1-1DA6-4849-BAFC-B781840ED36D}: NameServer = 85.255.116.59,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.59 85.255.112.188
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe

rikwar · Post by **rikwar** » 15 Oct 2006, 00:27

bon jai analysé votre log

O4 - HKLM\..\Run: [dmick.exe] C:\WINDOWS\system32\dmick.exe
Il semble que le nom de ce programme est le même que le nom du fichier. Dans la plupart des cas, ceci est le résultat d'un troyen. Pour être certain, vous devriez contrôler ce fichier.

O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe<< SRSHOST.EXE
Trojan.SRSHost.Process

O15 - Trusted Zone: *.mmohsix.com Effacer si la page '*.mmohsix.com' n’appartient pas dans vos sites à confiance.

O16 - DPF: {5526B4C6-63D6-41A1-9783-0FABF529859A} (mm06ocx.mm06ocxf) - h ttp:/ /cabs.media-motor. net /cabs / joysaver.cab Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription.

O17 - HKLM\System\CCS\Services\Tcpip\..\{28588A67-5807-4EF2-A0B6-4410E53A0ED5}: NameServer = 85.255.116.59,85.255.112.188 <<Effacer si l’IP ou le domaine '85.255.116.59,85.255.112.188' ne vous est pas connu de meme pour les autre dans(017)

rikwar · Post by **rikwar** » 15 Oct 2006, 00:30

quelle protection avez vous?

sur le site ya des utilitaire ici > viewtopic.php?t=64

cobra501 · Post by **cobra501** » 15 Oct 2006, 05:14

Bonjour et Merci rikwar

Je vais verifier ceci, pour ce qui es de la
protection c'est l'ordi de mon fils et son XP, il est au courant de AdAware,
Spybot, et le pare-feux de Zone Alarm quil va surement se procurer apres ceci, il fallais qu'il lui arrive ceci pour qu'il bouge

Bonne Journee

Lord · Post by **Lord** » 15 Oct 2006, 08:17

Bonjour.

Complément d'informations, la ligne ci-dessous représente un "spyware" et doit-être supprimée.

O2 - BHO: SSL encrypt - {746455FE-D059-47e7-AF0E-140E03F5A447} - C:\WINDOWS\system32\nsp4.dll

Détails ou

tapez le CLSID (les chiffres et lettres entre les accodades) ICI

De plus, je vous suggère de désinstaller "Spyware doctor" dont la légitimité est fort suspecte et de vous concentrez sur "Spybot" et "Ad-aware".

cobra501 · Post by **cobra501** » 16 Oct 2006, 23:46

Merci Gilles et rikwar

I'l a supprimer ces lignes et celui mentionner
par Lord avec Hijack et fait un scan avec Ewido tout fonctionne très bien et le scan n'avais que 3 cookies 'low'.
Il a rajoutez AdAware et Zone Alarm, pour ce qui est de son Spyware Doctor il avait acheter celui ci et fonctionnait bien mais avais malheureusement désactiver les mises a jour.

Gros Merci a vous et Bonne Journée

rikwar · Post by **rikwar** » 17 Oct 2006, 01:29

M.Lord merci

bonne observation

j avais laissé passé celui la

zuttt

Lord · Post by **Lord** » 17 Oct 2006, 08:26

Merci pour le "feedback" "cobra501" et content d'avoir pu aider à compléter votre analyse "rickwar".

cobra501 · Post by **cobra501** » 19 Oct 2006, 02:11

Bienvenue Gilles et merci a vous aussi rikwar