Trojan dur a enlever

voila avec hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 15:01:37, on 25/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\olive\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\olive\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {96F4205C-8425-4E2B-9B69-343B287EC869} - C:\WINDOWS\System32\bkgl.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM…\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM…\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM…\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM…\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM…\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe
O4 - HKLM…\Run: [divwin] divwin.exe
O4 - HKLM…\Run: [windiv] windiv.exe
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM…\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE
O4 - HKLM…\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM…\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM…\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM…\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\olive\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O17 - HKLM\System\CCS\Services\Tcpip…{44EB1A16-8816-451B-AC21-5A0946BED50F}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip…{44EB1A16-8816-451B-AC21-5A0946BED50F}: NameServer = 80.10.246.130 80.10.246.3
O18 - Filter: text/html - {87340CB7-A673-48B2-B085-01628FD64206} - C:\WINDOWS\System32\bkgl.dll
O18 - Filter: text/plain - {87340CB7-A673-48B2-B085-01628FD64206} - C:\WINDOWS\System32\bkgl.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

hijack pas terrible utilise combiné adawre + spybot + microsoft anitspyware + spywareblaster et là tu ne devrais plus avoir de problème…

sisi … Hijack très bien pour visualiser les process en cours (les prog lancés, ou qui se lancent) + les clés de registres qui correspondent.

après ouai, utilisé un outils de désinfection style ad-aware + spybot + antispyware… je suis d’accord… HiJack ne va pas te supprimer les fichier… seulement te créer la liste… (c’est seulement pour faire une remarque sur la comparaison que tu fesai, bartouze, entre hijack et les autres utilz :smiley: )

Moi il y a surtout ça que je ne trouve pas très catholique:

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe : ce truc la je suis pas très fan, avec:

[quote=""]
C:\Program Files\Eset\nod32kui.exe[/Quote]
et

et le HP software update… pas top.

http://www.iamnotageek.com/a/Nod32krn.exe.php c’est l’antivirus, donc à mon avis ça reste “catholique” :wink:

moi j’aime pas … :smiley:

:stuck_out_tongue: Supprime deja ca:
R1- HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\olive\LOCALS~1\Temp\se.dll/spage.html
et ca:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\olive\LOCALS~1\Temp\se.dll/spage.html
Fixe les avec HijackThis :wink:

j’ai beau enlever mais sa reviens des que j 'ouvre IE ET MSN

ya personne

:stuck_out_tongue: Tu devrais faire des *AV on line : “…LOCALS~1\Temp\se.dll/spage.html” c’est la X.variante du Trojan StartPage erradiqué depuis plusieurs mois maintenant et qui a bien sévi à une époque sur pas mal de machines

dans ton log il faudrait fixer :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\olive\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\olive\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {96F4205C-8425-4E2B-9B69-343B287EC869} - C:\WINDOWS\System32[b]bkgl.dll[/b]

Pour l’entrée 04/faire :
1) ctrl/alt/supp : clic/arrêter
2) tu repasses sur le log et tu fixes
O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\olive\LOCALS~1\Temp\se.dll,DllInstall

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O18 - Filter: text/html - {87340CB7-A673-48B2-B085-01628FD64206} - C:\WINDOWS\System32\bkgl.dll
O18 - Filter: text/plain - {87340CB7-A673-48B2-B085-01628FD64206} - C:\WINDOWS\System32\bkgl.dll

*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack (coche chaque case & Fix Checked)
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille

Après les fix au redémarrage : 1) affiche les dossiers cachés et protégés 2) fait une recherche sur le dossier s’il est encore présent : [sp] rundll32 C:\DOCUME~1\olive\LOCALS~1\Temp\se.dll,DllInstall et supprime-le en entier
Après les fix refait un nouveau log hijack pour vérifier et si les fix échouent - refait la procédure en mode sans échec et la restauration système désactivée

*AV online
http://www.ravantivirus.com (RAV Anti-Virus) (copie/colle le rapport ici si tu veux)
http://www.bitdefender.com/scan/licence.php

etc…

nan nod c’est l’antivirus !

est ce que tu as fait ce que je t’ai dit de faire?

ouai,ok , maiscomme disait l’autre: errare humanum es :whistle: