Se connecter / S'enregistrer
Votre question

Analyse log Hijack this SVP, et pti probleme trojan backdoor

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Septembre 2005 13:16:59

Bien le bonjour, je lutte depuis pres de trois heures sur une saleté d'infection qui est arrivée de nulle part, outrepassant ZoneAlarm(free) et Antivir(free aussi).
Apres de nombreuses manip en mode sans echec, il me semble etre venu a bout de la majeure partie du probleme, toutefois deux trois problemes semblent subsister....
Le plus embettant, impossible d'ouvrir le gestionnaire windows, le message "fonction bloquée par l'administrateur" s'affiche
l'autre, impossible de toucher aux parametres graphiques du bureau (entre autre changer de fond d'écran)

Voici mon log, je vous remercie d'avance du coup de main que vous pourriez me donner...

Logfile of HijackThis v1.99.1
Scan saved at 13:12:22, on 26/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\RegCleaner\RegCleanr.exe
G:\DOwnloads\systeme_bureautique\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.ca...
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?re...
O21 - SSODL: AntiVir/XP - {AE8ADD85-3B06-1802-D485-21090BA95556} - c:\program files\avpersonal\wbmjl32.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: service - Unknown owner - C:\WINDOWS\service.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

MERCI ENCORE

Autres pages sur : analyse log hijack this svp pti probleme trojan backdoor

26 Septembre 2005 17:22:29

Citation :
Le plus embettant, impossible d'ouvrir le gestionnaire windows, le message "fonction bloquée par l'administrateur" s'affiche
l'autre, impossible de toucher aux parametres graphiques du bureau (entre autre changer de fond d'écran)


Alors, si tu es administrateur, et que tu n'es pas dans un domaine. Fais ceci :
Démarrer-> Exécuter -> tapes mmc
Ensuite, tu fais Console -> ajouter/supprimer un composant logiciel enfichable
Tu appuyes sur "Ajouter" et tu choisis "Stratégie ordinateur local". Puis "Ok", "Ok", jusqu'a revenir à la console MMC.

Et après, faut regarder dans les options... et il devrait y avoir quelque chose pour réafficher le gestionnaire des tâches.
Pour ce qui est des paramètres graphiques de l'écran essayes dans :
Configuration Utilisateur / Modèles d'administration / Panneau de configuration / Affichage / regarde si c'est configuré ou pas les options.


Edit: pour le gestionnaire des tâches, il semblerait que ça se passe ici :

Configuration Ordinateur / Modèles d'administration / Composants Windows / Planificateur des tâches
(je suis pas sur à 100%...) je continue de chercher ;-)

Re-edit :

Sinon j'ai trouvé ça pour le gestionnaire des tâches :

Avec l'édition professionnelle:
Par Démarrer/Exécuter... (ou Windows+r), saisir gpedit.msc
Localiser le dossier Configuration utilisateur/Modèle d'administration/Système/Options Ctrl+Alt+Suppr
Dans le volet droit, double-cliquer sur Supprimer le Gestionnaire des tâches, et définir l'entrée en Non configuré.
Contenus similaires
26 Septembre 2005 21:50:08

merci mille fois pour les renseignements, je teste ca de suite, et au fait pour le 15, l'adresse IP, quand je l enleve et que je refait un scan derriere elle reapparait a nouveau, si vous avez une solution faites m'en part, merci beaucoup en tous cas.
Si j'ai un autre soucis je vous tiens au jus.
26 Septembre 2005 21:53:10

Euh au fait pour mon windows a jour, euh je dois pas etre une premiere mais c une copie d'un windows, alors je suis pas sur que niveau de l'authenticité ca le fasse, mais bon, faut-il que je fasse une windows update malgré tout?
j ai deja testé le download du service pack 1 et n'a jamais voulu pour cause de clé windows non valide...

Desolé billou, ton windows est un peu trop cher...
27 Septembre 2005 10:28:07

Je t'ai envoyé un MP pour les mises à jour de windows update. Tu peux les faire quand même.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS