Votre question

qqun peux annalyser mon fichier log SVP

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Septembre 2005 15:32:07

Gros soucis au démarrage, j'aimerais avoir une piste ou savoir ce qui bloque


Voici le Log de hijachthis
Logfile of HijackThis v1.99.1
Scan saved at 13:25:25, on 2005-09-08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\basfipm.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
C:\Program Files\CA\eTrust\InoculateIT\realmon.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Softwin\BitDefender9\bdswitch.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdnagent.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\userinit.exe
G:\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.ca/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dell.ca/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\inf\pstcp.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Program Files\CA\eTrust\InoculateIT\realmon.exe"
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\system32\oqkmd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sdkjh32.exe] C:\WINDOWS\sdkjh32.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender9\bdswitch.exe
O4 - HKLM\..\Run: [sysok.exe] C:\WINDOWS\system32\sysok.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender9\bdnagent.exe
O4 - HKLM\..\Run: [mfclj.exe] C:\WINDOWS\mfclj.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [key] C:\WINDOWS\system32\sys_xp.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\Software\..\Telephony: DomainName = mdi.mdifrance.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O20 - Winlogon Notify: pstcp - C:\WINDOWS\inf\pstcp.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe
O23 - Service: CWShredder Service - InterMute, Inc. - G:\cwshredder.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: eTrust InoculateIT RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
O23 - Service: eTrust InoculateIT Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
O23 - Service: eTrust InoculateIT Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe

Autres pages sur : qqun annalyser fichier log svp

8 Septembre 2005 16:45:15

S'il vous plait, help

J'ai essayé un scan avec Ccleaner, spyboot, ad aware, e-trust, et rien ne se passe, toujours le meme probleme, dès que je rebranche le cable réseau il me bloque au demarrage.
Je ne peux rien updater, rien consulter de mon poste.

J'avoue je suis a bout

Le pire c'est que déconnecté du reseau j'arrive parfois a me connecter et a faire des scans, mais en mode sans echec y a pas moyen, la restauration d'une ancienne config, ca marche meme pas.
Et lorsque je me connecte au reseau, une fenetre DOS apparait, et certains fichiers de demarrage sont suivi de deleted, donc j'imagine, que ce P... de virus efface des fichiers au demarrage.
Y' a t il un sauveur dans l'assistance

:crying:
8 Septembre 2005 16:59:55

télécharger A2 free et scan avec
Scan en ligne chez panda
et reposte un log
Contenus similaires
Pas de réponse à votre question ? Demandez !
8 Septembre 2005 17:10:47

je n'arrive pas avoir une connexion web sur ce PC je suis automatiquement jeté
C'est pour ca que les scans en lignes sont compliqués

j'essaie quand meme avec Panda
8 Septembre 2005 17:13:48

je n'arrive pas avoir une connexion web sur ce PC je suis automatiquement jeté
C'est pour ca que les scans en lignes sont compliqués

j'essaie quand meme avec Panda
9 Septembre 2005 11:09:45

J'ai pas reussi a scanner avec Panda, suivant certains conseils j'ai viré Dwwin.exe, non sans mal, jusched.exe aussi, et versiontray.exe.
Rien a changé toujours bloqué au demarrage, me bloque meme le mode sans echec, j'ai été obligé de passer en mode MS DOS sans echec pour virer Dwwin.exe.

Bref nouveau Log et encore de l'aide please, ca me saoule
Logfile of HijackThis v1.99.1
Scan saved at 10:16:39, on 2005-09-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\basfipm.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
C:\Program Files\CA\eTrust\InoculateIT\realmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
G:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.ca/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dell.ca/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\inf\pstcp.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Program Files\CA\eTrust\InoculateIT\realmon.exe"
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\system32\oqkmd.exe
O4 - HKLM\..\Run: [sdkjh32.exe] C:\WINDOWS\sdkjh32.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender9\bdswitch.exe
O4 - HKLM\..\Run: [sysok.exe] C:\WINDOWS\system32\sysok.exe
O4 - HKLM\..\Run: [mfclj.exe] C:\WINDOWS\mfclj.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [key] C:\WINDOWS\system32\sys_xp.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\Software\..\Telephony: DomainName = mdi.mdifrance.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\System\CS3\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O20 - Winlogon Notify: pstcp - C:\WINDOWS\inf\pstcp.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe
O23 - Service: CWShredder Service - InterMute, Inc. - G:\cwshredder.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: eTrust InoculateIT RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
O23 - Service: eTrust InoculateIT Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
O23 - Service: eTrust InoculateIT Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe


Quelqu'un a une idée ?
9 Septembre 2005 15:54:02

Bonjour,

1/ Télécharge et installe CCleaner

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

3/ Lance Hijackthis et fixe les lignes suivantes :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank

R3 - Default URLSearchHook is missing

O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\inf\pstcp.dll

O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\system32\oqkmd.exe
O4 - HKLM\..\Run: [sdkjh32.exe] C:\WINDOWS\sdkjh32.exe

O4 - HKLM\..\Run: [sysok.exe] C:\WINDOWS\system32\sysok.exe
O4 - HKLM\..\Run: [mfclj.exe] C:\WINDOWS\mfclj.exe

O4 - HKCU\..\Run: [key] C:\WINDOWS\system32\sys_xp.exe

O20 - Winlogon Notify: pstcp - C:\WINDOWS\inf\pstcp.dll


4/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)

5/ ensuite supprime les fichiers suivants :

C:\WINDOWS\inf\pstcp.dll
C:\WINDOWS\system32\oqkmd.exe
C:\WINDOWS\sdkjh32.exe
C:\WINDOWS\system32\sysok.exe
C:\WINDOWS\mfclj.exe
C:\WINDOWS\system32\sys_xp.exe

6/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

7/ Redémarre normalement puis fais un scan en ligne chez Panda

8/ Colle son rapport ici avec un nouveau log HijackThis.
9 Septembre 2005 17:34:28

Bonjour!! Moi aussi j aurais besoin de vos services...

J ai réinstallé mon win xp il y a deux jours mais lorsque je me connecte, des fenêtres "Service Affichage des messages" apparaissent.Elles expliquent en anglais qu il y a des erreurs critiques et que je dois me rendre sur www.repairreg.com ou fixmyreg.com...

Je crains que ce soit un trojan...
Mon antivirus ne trouve rien; spybot et adaware non plus si ce n'est quelques cookies...

Voici mon log hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:25:29, on 09/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\MPB.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\pctspk.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\mmsvc32.exe
C:\WINDOWS\System32\spools.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Rémi Gastaud\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nouvelobs.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 211.136.108.75 lloydstsb.co.uk
O1 - Hosts: 211.136.108.75 online.lloydstsb.co.uk
O1 - Hosts: 211.136.108.75 www.lloydstsb.co.uk
O1 - Hosts: 211.136.108.75 www.lloydstsb.com
O1 - Hosts: 211.136.108.75 personal.barclays.co.uk
O1 - Hosts: 211.136.108.75 barclays.co.uk
O1 - Hosts: 211.136.108.75 ibank.barclays.co.uk
O1 - Hosts: 211.136.108.75 www.barclays.co.uk
O1 - Hosts: 211.136.108.75 www.nwolb.com
O1 - Hosts: 211.136.108.75 nwolb.com
O1 - Hosts: 211.136.108.75 hsbc.co.uk
O1 - Hosts: 211.136.108.75 www.hsbc.co.uk
O1 - Hosts: 211.136.108.75 abbey.com
O1 - Hosts: 211.136.108.75 www.abbey.com
O1 - Hosts: 211.136.108.75 www.abbey.co.uk
O1 - Hosts: 211.136.108.75 abbey.co.uk
O1 - Hosts: 211.136.108.75 cahoot.com
O1 - Hosts: 211.136.108.75 www.cahoot.com
O1 - Hosts: 211.136.108.75 www.cahoot.co.uk
O1 - Hosts: 211.136.108.75 cahoot.co.uk
O1 - Hosts: 211.136.108.75 www.co-operativebank.co.uk
O1 - Hosts: 211.136.108.75 co-operativebank.co.uk
O1 - Hosts: 211.136.108.75 www.co-operativebank.com
O1 - Hosts: 211.136.108.75 co-operativebank.com
O1 - Hosts: 211.136.108.75 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 211.136.108.75 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 211.136.108.75 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 211.136.108.75 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 211.136.108.75 www.smile.co.uk
O1 - Hosts: 211.136.108.75 smile.co.uk
O1 - Hosts: 211.136.108.75 www.cajamar.es
O1 - Hosts: 211.136.108.75 cajamar.es
O1 - Hosts: 211.136.108.75 www.cajamar.com
O1 - Hosts: 211.136.108.75 www.unicaja.es
O1 - Hosts: 211.136.108.75 unicaja.es
O1 - Hosts: 211.136.108.75 www.unicaja.com
O1 - Hosts: 211.136.108.75 unicaja.com
O1 - Hosts: 211.136.108.75 www.caixagalicia.es
O1 - Hosts: 211.136.108.75 caixagalicia.es
O1 - Hosts: 211.136.108.75 www.caixagalicia.com
O1 - Hosts: 211.136.108.75 caixagalicia.com
O1 - Hosts: 211.136.108.75 activa.caixagalicia.es
O1 - Hosts: 211.136.108.75 www.caixapenedes.es
O1 - Hosts: 211.136.108.75 caixapenedes.es
O1 - Hosts: 211.136.108.75 www.caixapenedes.com
O1 - Hosts: 211.136.108.75 caixapenedes.com
O1 - Hosts: 211.136.108.75 bancae.caixapenedes.com
O1 - Hosts: 211.136.108.75 www.caixasabadell.es
O1 - Hosts: 211.136.108.75 caixasabadell.es
O1 - Hosts: 211.136.108.75 www.caixasabadell.net
O1 - Hosts: 211.136.108.75 caixasabadell.net
O1 - Hosts: 211.136.108.75 www.cajamadrid.es
O1 - Hosts: 211.136.108.75 cajamadrid.es
O1 - Hosts: 211.136.108.75 www.cajamadrid.com
O1 - Hosts: 211.136.108.75 cajamadrid.com
O1 - Hosts: 211.136.108.75 oi.cajamadrid.es
O1 - Hosts: 211.136.108.75 www.ccm.es
O1 - Hosts: 211.136.108.75 ccm.es
O1 - Hosts: 211.136.108.75 www.haspa.de
O1 - Hosts: 211.136.108.75 haspa.de
O1 - Hosts: 211.136.108.75 ssl2.haspa.de
O1 - Hosts: 211.136.108.75 www.dresdner-bank.de
O1 - Hosts: 211.136.108.75 dresdner-bank.de
O1 - Hosts: 211.136.108.75 www.dresdner-privat.de
O1 - Hosts: 211.136.108.75 postbank.de
O1 - Hosts: 211.136.108.75 www.postbank.de
O1 - Hosts: 211.136.108.75 banking.postbank.de
O1 - Hosts: 211.136.108.75 www.sparda-b.de
O1 - Hosts: 211.136.108.75 sparda-b.de
O1 - Hosts: 211.136.108.75 www.bankingonline.de
O1 - Hosts: 211.136.108.75 www.raiffeisenbank-erding.de
O1 - Hosts: 211.136.108.75 raiffeisenbank-erding.de
O1 - Hosts: 211.136.108.75 www.vr-networld-ebanking.de
O1 - Hosts: 211.136.108.75 vr-networld-ebanking.de
O1 - Hosts: 211.136.108.75 www.bnhof.de
O1 - Hosts: 211.136.108.75 bnhof.de
O1 - Hosts: 211.136.108.75 www.deutsche-bank.de
O1 - Hosts: 211.136.108.75 deutsche-bank.de
O1 - Hosts: 211.136.108.75 meine.deutsche-bank.de
O1 - Hosts: 211.136.108.75 www.citibank.de
O1 - Hosts: 211.136.108.75 citibank.de
O1 - Hosts: 211.136.108.75 cipehb13.cdg.citibank.de
O1 - Hosts: 211.136.108.75 www.dkb.de
O1 - Hosts: 211.136.108.75 dkb.de
O1 - Hosts: 211.136.108.75 www.sparkasse-regensburg.de
O1 - Hosts: 211.136.108.75 sparkasse-regensburg.de
O1 - Hosts: 211.136.108.75 www.berliner-bank.de
O1 - Hosts: 211.136.108.75 berliner-bank.de
O1 - Hosts: 211.136.108.75 www.berliner-sparkasse.de
O1 - Hosts: 211.136.108.75 berliner-sparkasse.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MPB] C:\WINDOWS\System32\MPB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O17 - HKLM\System\CCS\Services\Tcpip\..\{28BC35E4-847B-4DF1-AC6A-281D3625D1E1}: NameServer = 212.27.54.252 212.27.32.5
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Merci de m aider et de me renseigner!

Fyjin
9 Septembre 2005 19:08:16

Merci Esteban j'essaie lundi et te tiens au courant, c'est cool. :-)
12 Septembre 2005 11:34:04

Salut


Bon, restauration du systeme désactivée, j'ai passé CCleaner, Ewido, ETrust, stinger, ad aware... plus rien de détecté.
Probleme quand je me logue, j'ai accès a tout le réseau comme habituellement, sauf IE et Outlook ou je me fais jeter.
Quand je me logue y a une fenetre Dos qui s'active en bas a droite (elle s'activait avant aussi ), mais maintenant quand je lis ce qui se passe, des liens sont suivis de deleted.
Je pense qu'un executable modifie mes parametres reseau et je sais pas quoi

Voici mon nouveau log hijackthis, toujours impossible de virer la ligne "O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Unknown owner - C:\WINDOWS\System32\basfipm.exe (file missing)", hijackthis ne le fait pas a croire qu'il y a un blocage
Que dire de cette ligne est elle normale "O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u"


Logfile of HijackThis v1.99.1
Scan saved at 11:02:04, on 2005-09-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
C:\Program Files\CA\eTrust\InoculateIT\realmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\JMichel\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.ca/index.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dell.ca/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Program Files\CA\eTrust\InoculateIT\realmon.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\Software\..\Telephony: DomainName = mdi.mdifrance.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = mdi.mdifrance.com
O17 - HKLM\System\CS3\Services\Tcpip\..\{2FC84533-8E45-47DE-B719-F9178E3662E0}: NameServer = 192.168.1.250,194.2.0.20
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Unknown owner - C:\WINDOWS\System32\basfipm.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: eTrust InoculateIT RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
O23 - Service: eTrust InoculateIT Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
O23 - Service: eTrust InoculateIT Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
12 Septembre 2005 12:11:46

Bonjour,

Je ne vois plus rien d'infectieux dans le rapport

concernant :
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Unknown owner - C:\WINDOWS\System32\basfipm.exe (file missing)
cette ligne semble légitime --> http://castlecops.com/o23list-429.html

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
légitime --> http://castlecops.com/s6959-dumprep_0_u.html

Dans les lignes 017 connais-tu mdi.mdifrance.com ?
12 Septembre 2005 12:26:29

c'est le nom de mon entreprise donc ca doit etre legitime

La poisse si tu vois rien
J'ai essayé trop d'anti virus, anty spyware etc...
plus rien de détecté .

En plus je n'ai pas acces au web pour faire une analyse en ligne :-(
12 Septembre 2005 12:38:35

Essaie peut-être de reconfigurer la connexion réseau avec l'aide de l'administrateur réseau de ton entreprise.

ps :
le fichier C:\WINDOWS\System32\basfipm.exe est bien manquant sinon il apparaîtrait dans la liste des processus en cours
13 Septembre 2005 12:19:40

Bon mon administrateur reseau est venu et reparti il sait pas il m'a installé mozilla en attendant super !!!
Bref je suis degouté

Merci Esteban de ton aide
13 Septembre 2005 13:41:02

Esteban


J'ai essayé, analysé mon PC et j'ai eu aucun retour, ni en bien ni en mal, ca veut dire que ca va j'imagine.
Tout le monde dit que mon log est bon.
Donc c'est un probleme de parametrage de ma connexion je pense

Merci encore
13 Septembre 2005 14:51:29

Esteban,


C'est bon, j'avais 2 repertoires Andres Haak installés dans ma base des registres, une fois virés, everything works good.

Je suis trop content

Merci de ton aide
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS