Votre question

hjackthis bloc note

Tags :
  • Trend micro
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Avril 2005 21:28:59

Voici ce que j'obtiens en suivant vos conseils.... pourriez vous m'aider sur ce que je dois faire ensuite...
merci d'avance
Logfile of HijackThis v1.99.1
Scan saved at 21:25:31, on 14/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\WINDOWS\system32\usbn.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\wp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\NATHALIE\Local Settings\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\NATHALIE\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\NATHALIE\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {03DD7A2B-6486-4EBB-8C82-2B3771FED006} - C:\WINDOWS\System32\gmjh.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c145 -w
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\NATHALIE\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [saap] c:\program files\180\saap.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {48CD4C1A-21EB-43FD-84CE-23130295B413} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {48CD4C1A-21EB-43FD-84CE-23130295B413} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_s...
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDEF7B12-27B0-4954-B2D6-E4783C466D8B}: NameServer = 213.36.80.1 213.36.80.1
O18 - Filter: text/html - {F2B88FC5-94EC-401B-A6A2-386A00B12DE9} - C:\WINDOWS\System32\gmjh.dll
O18 - Filter: text/plain - {F2B88FC5-94EC-401B-A6A2-386A00B12DE9} - C:\WINDOWS\System32\gmjh.dll
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe

Autres pages sur : hjackthis bloc note

14 Avril 2005 21:35:58

hello

va HERE

Tu copie le résultat et tu le colles, ça t'indique ce que tu dois virer!
14 Avril 2005 21:40:19

donc tu vires:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\NATHALIE\LOCALS~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\NATHALIE\LOCALS~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O4 - HKLM\..\Run: [saap] c:\program files\180\saap.exe

+ TOUT les eventuellement méchant oki? @+
Contenus similaires
14 Avril 2005 21:46:23

ne pas virer tous les éventuellement méchants !
j'en ai vu des bons...
je regarde ton rapport et je te dis quoi enlever dans 15 minutes environ...
14 Avril 2005 21:49:14

j'ai selectionné tout ce qui était préconisé puis fix check.....
mon écran n'est pas différent ai-je oublié quelque chose?
14 Avril 2005 21:50:11

j'attend vos conseil lovelyboy en espérant ne pas avoir fait de bétise en attendant.....merci en tous les cas
14 Avril 2005 21:50:42

bonsoir,

se.dll provient d'un cheval de troie
14 Avril 2005 21:55:17

où puis je trouver ce canasson? et qu'en faire???
14 Avril 2005 21:55:59

salut,
arrête ces processus (si tu les trouve):
usbn.exe
wp.exe


ensuite ouvre un dossier quelconque, puis "outils" => options des dossiers => onglet "affichage" => sélectionne "afficher les fichiers et dossiers cachés".


supprime les dossiers/fichiers incriminés: (s'ils existent encore)
C:\WINDOWS\system32\usbn.exe
C:\wp.exe
IEEXPLORE.exe (fais une recherche, sûrement dans "windows" ou "system32"
c:\program files\180 <= le dossier




supprime le contenu des dossiers "temp":
C:\windows\temp
C:\documents ans settings\ton nom\local settings\temp
C:\documents ans settings\ton nom\local settings\temporary internet files
===> même chose avec les autres dossier que contient C:\documents ans settings.(si "local setting" existe)


fais un nettoyage de disque: démarrer => programmes => accessoire => outils système => nettoyage de disque.


coche ces lignes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\NATHALIE\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\NATHALIE\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: (no name) - {03DD7A2B-6486-4EBB-8C82-2B3771FED006} - C:\WINDOWS\System32\gmjh.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c145 -w
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\NATHALIE\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [saap] c:\program files\180\saap.exe
O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O4 - HKCU\..\Run: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O9 - Extra button: Microsoft AntiSpyware helper - {48CD4C1A-21EB-43FD-84CE-23130295B413} - (no file) (HKCU)
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {48CD4C1A-21EB-43FD-84CE-23130295B413} - (no file) (HKCU)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a... .cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O18 - Filter: text/html - {F2B88FC5-94EC-401B-A6A2-386A00B12DE9} - C:\WINDOWS\System32\gmjh.dll
O18 - Filter: text/plain - {F2B88FC5-94EC-401B-A6A2-386A00B12DE9} - C:\WINDOWS\System32\gmjh.dll


puis ferme toutes les fenêtres sauf hijackthis, et clique sur "fix checked".





edit: tu peux me tutoyer :-D :-D j'ai 14 ans ;-)
14 Avril 2005 21:58:27

ok pour le tutoyement
je vais te paraitre nulle mais comment on arrête un processus?
14 Avril 2005 22:00:08

par le gestionnaire de tâches (ctrl, alt, suppr)
14 Avril 2005 22:08:27

j'avance!!!!
j'ai supprimé usbn.exe, wp.exe mais je ne sais pas quoi faire avec le dossier program files 180 j'ai 10 icone dedans
14 Avril 2005 22:11:57

supprime le dossier (clique droit sur le dossier => supprimer)
à moins que tu aie des choses importantes dedans ? ça m'étonnearais...si c'est le cas ne supprime que "saap.exe" dans le dossier.
14 Avril 2005 22:12:29

Les rapports de hijackthis connaissent un veritable succes aujourd'hui :-)
14 Avril 2005 22:12:57

il faut rechercher d'éventuels alias

vérifier le registre
14 Avril 2005 22:29:57

j'ai supprimé 3 fichier 180 dans lesquels il y avait des saap.exe
il me reste des fichiers que je ne peux pas supprimer dans les temp et les temporary internet files
sinon j'ai fait tout le reste et toujours le mêm écran bleu désespérant
14 Avril 2005 22:44:15

je progresse j'ai relancé mon arodi et j'ai maintenant un écran noir que je ne peux pas changer....
14 Avril 2005 22:46:00

et de plus il ne veux pas me mettre google en page d'accueil + pub pour anti virus qui s'ouvre..... je crains ne pas en avoir fini....
15 Avril 2005 12:36:40

pour les fichiers à suprimer manuellement, supprime les en mode sans échec.
15 Avril 2005 12:42:33

Regarde aussi dans "ajout/suppression de programmes si tu ne trouve pas les programmes (saap, usbn, wp). Si tu les trouve, désinstalle-les. Aussi cherche dans le registre (edition => rechercher)
_saap
_usbn
_wp
dès qu'il te trouve quelque chose de mauvais (fais bien attention à ne pas supprimer n'importe quoi !), supprime-le et appuie sur F3 pour rechercher le suivant.
15 Avril 2005 12:44:18

en fait saap a beaucoup d'alias.., il fait partie du groupe 180 (malwares)

Edit : @ Lovelyboy, oui ;-)
15 Avril 2005 12:49:40

il y a beaucoup de problème en ce moment je trouve... :-?
c'est la saison des amours des virus ou quoi ? ;-)
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS