Au secours

invite08457b5f · 02/11/2005, 20h37

Eh oui, je suis attaqué. mais je n'y connais rien. Voici mon hjck. Qlqn peut-il m'aider ?
Merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 15:31:54, on 2005-11-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
c:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Common Files\Real\Update_OB\realsched .exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\POP Peeper\POPPeeper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\HPZipm12.e xe
C:\WINDOWS\system32\svchost.ex e
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.e xe
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\InterMute\SpySubtract\Sp ySub.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Documents and Settings\HP_Owner\My Documents\eMule\emule.exe
c:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.e xe
C:\Program Files\Java\jre1.5.0\bin\jusche d.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Common Files\Symantec Shared\AdBlocking\NSMdtr.exe
C:\WINDOWS\system32\rundll32.e xe
C:\WINDOWS\system32\NOTEPAD.EX E
C:\Documents and Settings\HP_Owner\My Documents\HijackThis.exe

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://g.fr.msn.ca/0SEFRCA/SAOS01
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://yahoo.fr/
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://g.fr.msn.ca/0SEFRCA/SAOS01
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = http://yahoo.fr/
O3 - Toolbar: HP view - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dl l
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsb urnwatcher.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched .exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Tsl2] C:\PROGRA~1\COMMON~1\tsa\tsl2. exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AdwareAlert] C:\Program Files\AdwareAlert\AdwareAlert. Exe -boot
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [On2Share] C:\Program Files\Windows Media Player\Plugins\On2Share\On2Sha re MediaServer.exe -no-notifywnd
O4 - Startup: HP Organize.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Recherche sur le bureau de Windows.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0000.1082\fr-ca\bin\WindowsSearch.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\ss launch.exe
O4 - Global Startup: Updates from HP.lnk = C:\Program Files\Updates from HP\309731\Program\Updates from HP.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dl l/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dl l/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dl l/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dl l/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\ EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dl l/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dl l/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi1 50.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi1 50.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\ REFIEBAR.DLL
O9 - Extra button: Connection Help - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Ve ndors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\ IEButton\support.htm
O9 - Extra 'Tools' menuitem: Connection Help - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Ve ndors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\ IEButton\support.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyPoker.net\partypoke rnet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyPoker.net\partypoke rnet.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Connection Help - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Ve ndors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\ IEButton\support.htm (HKCU)
O9 - Extra 'Tools' menuitem: Connection Help - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Ve ndors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\ IEButton\support.htm (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\en68l1ju1. dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.d ll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\105 0\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.e xe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\ SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

**JPL** · 02/11/2005, 23h37

Déplacé là où cela aurait dû être : dans le forum qui parle de sécurité.

**yoda1234** · 03/11/2005, 06h09

Bonjour
En préambule je te propose un petit nettoyage,malheureusement il suffira pas:tu es infecté par Look2me.
D'autres répondront mieux que moi pour ce type d'infection
1. Mettre à jour votre antivirus.
2. Mettre à jour Spybot. Si vous n'avez pas Spybot télécharger-le ici.
3. Mettre a jour AD-Aware SE. Si vous n'avez pas AD-Aware télécharger-le ici.
4. Télécharger CWShredder.
5. Vider votre cache.
6. Effacer vos cookies.
7. Effacer votre historique. Pour tout cela sur:

Firefox :Outils->options->Vie privée et vous trouverez les boutons concernés;
IE: outils->options internet->general : supprimer les cookies; supprimer les fichiers;effacer l'historique.

8. Désactiver votre restauration système,pour cela:

Cliquez sur Démarrer avec le bouton gauche
Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés
Cliquez sur l'onglet "Restauration du système"
Sélectionnez "Désactiver la Restauration du système" ou "Désactiver la Restauration du système sur tous les lecteurs"
Cliquez sur Appliquer.Un message apparaitra;acceptez en cliquant sur oui.

9. Passer en mode sans echecs,pour cela:
taper sur F8 jusqu'a ce que le pc vous propose entre autre choix "demarrer en mode sans echecs"
10. Exécuter AD-Aware.
11. Exécuter Spybot.
12. Exécuter CWShredder.
13. Exécuter votre antivirus.
14 Redémarrer en mode normal.
Ne pas oublier de reactiver ta restauration système,pour cela:

Cliquez sur Démarrer
Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
Cliquez sur l'onglet "Restauration du système"
De-selectionnez "Désactiver la Restauration du système" ou "Désactiver la Restauration du système sur tous les lecteurs"
Cliquez sur Appliquer puis sur OK.

**igor51** · 03/11/2005, 15h57

bonnjour, je ne sais pas si il appartient à look2me, mais il ya aussi tsl2.
applique cette procédure pour l'enlever après avoir fait celle de yoda qui est plus global, mais s'il reste alor applique celà:

telecharge lspfix et mets le de coté
coche ses lignes

O4 - HKLM\..\Run: [Tsl2] C:\PROGRA~1\COMMON~1\tsa\tsl2. exe

supprime le fichier

C:\PROGRA~1\COMMON~1\tsa\tsl2. exe

lance lspfix et fait passer la dll nvappfilter.dll dans la colonne remove puis clique sur finish

tiens nous au courant.

A voir en vidéo sur Futura · Aujourd'hui

invite7dd9419b · 03/11/2005, 16h49

Bonjour, une petite recommendation une fois que ton PC est propre installe Mozilla à la place d'IE, supprime la totalité de NAV y compris le centre de sécurité ensuite tu peux installer Avast à la place de NAV et en firewall Zone Alarm.
Explication:_IE a des failles de sécurité énormes qui permettent de le transformer en zombie.
_NAV ne bloque absolument pas la propagation des virus dans les PC.
_Zone Alarm te permets de voir quel sont les programmes qui vont sur le net.
Depuis que j'utilise cette configuration j'ai bien moins de problême.
A+

**JPL** · 03/11/2005, 17h42

Plutôt que Mozilla, très lourd, il faut utiliser Firefox qui est la partie navigateur, relookée, de Mozilla. Dans certains cas toutefois on ne peut pas éviter d'utiliser Internet Explorer. Il est largement sécurisé en "vaccinant" l'ordinateur avec SpywareBlaster.
Quant à l'affirmation :

_NAV ne bloque absolument pas la propagation des virus dans les PC.

c'est très sommaire et on entre dans la polémique stérile sur les goûts et les couleurs en matière d'antivirus. Tous les antivirus sont capables de bloquer les malwares classiques actuels. Certains sont plus efficaces que d'autres en ce qui concernent ceux qui sont très rares ou en ce qui concerne l'efficacité de la désinfection a posteriori. Celui qui est le plus efficace de l'avis général est l'antivirus de Kaspersky.

**igor51** · 03/11/2005, 18h32

plutot que de dire que NAV ne bloque rien, il faut dire qu'il est lourd à utiliser....il demande beaucoup de mémoire vive, mais en aucun cas il est moins bien qu'un autre...mais là c'est en fonction des gouts de chacun.

invite7dd9419b · 03/11/2005, 19h15

Je ne suis pas contre NAV mais les virus les plus costauds sont parfaitement capables de désactiver partiellement ou la totalité des logiciels de sécurités les plus connus, d'ou ma désafection pour les produits de Symantec, les plus répandus.
J'ai déjà nettoyé des ordinateurs qui dépassait le millier de fichiers infectés avec un anti-virus fonctionnel et a jour, le record 9 heures de scan par un autre anti-virus.
Dans ma zone géographique (proche des USA) le classique actuellement c'est le PC zombie (35% du parc US infecté) et certain PC en avait plusieurs en même temps, la détection par un anti-virus de ces logiciels de prise en main est proche de zéro sauf lorsqu'un virus classique est implanté par le pirate, et encore.
Je ne veux pas lancer de polémique sur ce sujet, je ne fais qu'un simple constat.
Bon courage.

**Cyrrus** · 04/11/2005, 19h02

Bonjour,

1) Pourrais tu reposte un log, mais fais en mode sans echec. Ca le raccourcira un peu et ca sera plus facile.
2) Telecharge L2Mfix : http://www.atribune.org/downloads/l2mfix.exe

cliquer sur le bouton "Install" pour dézipper
ouvrir le dossier l2mfix créé sur le bureau
double-cliquer sur L2Mfix.bat et choisir l'option 1 Run Find Log (entrer 1)
après 1 ou 2 minutes de recherche, il y a ouverture du Bloc-note.

Poste le rapport qui en decoulera, avec ton nouveau rapport hiajckthis, fais en mode sans echec. Ne touche à rien d'autre dans le dossier l2mfix !

Bonne soirée
Cyrrus

Au secours

Au secours

Re : Au secours

Re : Au secours

Re : Au secours

Re : Au secours

Re : Au secours

Re : Au secours

Re : Au secours

Re : Au secours

Discussions similaires

au secours !

au secours...!!!

au secours.....

Au secours..