Se connecter / S'enregistrer
Votre question

Analyse Hijackthis svp? je suis nul

Tags :
  • Windows genuine advantage
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Septembre 2005 21:40:50

Bonsoir,

Bien voilà j'ai repris le pc portable d'un club, et il infecté de virus et autres ####ries...

J'ai passé avast, et autres logiciels mais rien ne fait, alors j'ai téléchargé Hijk?? et voici le log

Logfile of HijackThis v1.99.1
Scan saved at 21:01:04, on 11/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\sistray.EXE
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\System32\ch_utility.exe
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\soundman.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\mysql\bin\mysqld-nt.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\restore.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\etb\pokapoka66.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe
C:\WINDOWS\System32\svchost.exe
C:\mysql\bin\winmysqladmin.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.enterthesearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enterthesearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enterthesearch.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [Chrontel TV] C:\WINDOWS\System32\ch_utility.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [Microsoft Client] mshost.exe
O4 - HKLM\..\Run: [System Update Service] update.pif
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [System service66] C:\WINDOWS\etb\pokapoka66.exe
O4 - HKLM\..\RunServices: [Microsoft Client] mshost.exe
O4 - HKLM\..\RunServices: [System Update Service] update.pif
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [System Update Service] update.pif
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0000.1105\fr-fr\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/spsp29953.01n...
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C710544-9E15-49B5-823A-989B7CC1BB5A}: NameServer = 195.238.2.21,195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C710544-9E15-49B5-823A-989B7CC1BB5A}: NameServer = 195.238.2.21,195.238.2.22
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C710544-9E15-49B5-823A-989B7CC1BB5A}: NameServer = 195.238.2.21,195.238.2.22
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe

Quelq'un peut me dire comment supprimer les quelques bestioles genre cmd.exe

Merci pour votre aide précieuse

Autres pages sur : analyse hijackthis svp nul

11 Septembre 2005 22:00:23

bonsoir om1102

il faut que tu mets a jours WINDOWS et IE pour des questions de sécurité.

va dans le gestionnaire des taches ( Ctrl + Alt + Suppr) et termine le processus suivant: pokapoka66.exe

ensuite refait un log et fixe ces lignes:

O4 - HKLM\..\Run: [Microsoft Client] mshost.exe
O4 - HKLM\..\Run: [System Update Service] update.pif
O4 - HKLM\..\Run: [System service66] C:\WINDOWS\etb\pokapoka66.exe
O4 - HKLM\..\RunServices: [Microsoft Client] mshost.exe
O4 - HKLM\..\RunServices: [System Update Service] update.pif
O4 - HKCU\..\Run: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [System Update Service] update.pif
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/spsp29953.01n... .cab

ensuite tu supprime : C:\WINDOWS\etb\pokapoka66.exe

tu fais un scan avec Ad-Aware ou crap cleaner et tu reposte un log.

Amicalement ^__^
11 Septembre 2005 22:12:03

Merci lomaster,

mais quand je ne retrouve plus cette ligne pokapoka66?
Elle se trouve dans Processus?
Contenus similaires
11 Septembre 2005 22:15:40

heu je te suis pas là, tu ne trouve pas ce que je tes dis de supprimer c'est sa?
11 Septembre 2005 22:17:43

Oui dans gestionnaire de tâche-processus: il n'y a pas pokapoka66
11 Septembre 2005 22:20:32

ok tu vas essayer de le virer toi meme

C:\WINDOWS\etb\pokapoka66.exe

supprime sa, si il te dit que non redemarre en mode sans echec et re essaye a nouveau.

Amicalement^__^
11 Septembre 2005 22:25:26

Vraiment merci pour ton aide mais je ne trouve pas le dossier ebt, j'ai fait une recherche sur le dossier ebt: rien une sur le fichier pokapoka66: rien

Je refais un log et là le fichier est présent ??????????
11 Septembre 2005 22:30:41

J'espère que tu n'es pas fatigué
11 Septembre 2005 22:32:51

bon tu va nettoyer ton pc entierement:

telecharge CrapCleaner ou Regcleaner
Pour CrapCleaner, cliquez sur analyse puis sur corriger les problèmes. Pour Regcleaner, mettre en mode automatique (nettoyage du registre, mode, automatique) puis outils, nettoyage du registre, tout faire.

va dans C:/windows, il y a un dossier PREFETCH. va
dedans et supprimez tout ce qu'il contient MAIS EN AUCUN CAS LE DOSSIER EN LUI MEME !!!
regcleaner

crapcleaner

Ad-Aware

spybot

voila lance c'est programme un par un et tu aura fais un gros menage dans ton ordi déja.
ensuite reposte un log hijacthis plus un rapport panda

oanda

Amicalement ^__^
11 Septembre 2005 22:42:01

outils >options des dossiers > coche "afficher dossiers et fichiers cachés" et décoche " fichiers dont les extensions sont connus


tu devrais peut etre trouver ton fichier
11 Septembre 2005 23:03:19

je ne le fais pas exprès mais c'est bon j'ai fait ce que tu m'as dis au premier post

voici le log

Logfile of HijackThis v1.99.1
Scan saved at 22:58:28, on 11/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\ch_utility.exe
C:\WINDOWS\restore.exe
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\soundman.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\mHotkey.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\mysql\bin\winmysqladmin.exe
C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Documents and Settings\philippe\Mes documents\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.enterthesearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enterthesearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enterthesearch.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [Chrontel TV] C:\WINDOWS\System32\ch_utility.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0000.1105\fr-fr\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C710544-9E15-49B5-823A-989B7CC1BB5A}: NameServer = 195.238.2.21,195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C710544-9E15-49B5-823A-989B7CC1BB5A}: NameServer = 195.238.2.21,195.238.2.22
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C710544-9E15-49B5-823A-989B7CC1BB5A}: NameServer = 195.238.2.21,195.238.2.22
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe

11 Septembre 2005 23:19:17

Bonsoir,

1/ Lance Hijackthis. Ferme tous les programmes y compris Internet Explorer.
Fixe les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.enterthesearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enterthesearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enterthesearch.com/sp2.php


2/ Cette ligne est suspecte :
O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe

Analyse >>sur ce site<< le fichier C:\WINDOWS\restore.exe pour savoir s'il est infectieux.
Poste le résultat.
11 Septembre 2005 23:25:04

Merci à vous je suppose que maintenant c'est bon?

Mais je dois faire quoi pour éviter les problèmes tout de suite, par ce que là ça fait 2 jours que je ne vais plus sur internet avec cet ordi mais je dois y retouner comment faire?

J'ai mis avast
11 Septembre 2005 23:28:53

- Installe un pare-feu, par exemple ZoneAlarm qui est simple et gratuit.
- Mets à jour ton système via http://windowsupdate.microsoft.com/

alors est-ce que le fichier restore.exe est infectieux ? (c par curiosité car j'ai déjà rencontré cette ligne et je me demande de quelle saleté il s'agit)
11 Septembre 2005 23:33:22

Merci pour le fichier je sais pas je l'ai delete
Merci beaucoup pour vos aides
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS