Log Hijack

Bon,on m’a dit de mettre ça ici, alors, enjoy yourself :slight_smile:

Logfile of HijackThis v1.99.1
Scan saved at 13:18:22, on 27/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Winamp\winampa.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\PROGRA~1\MESSAG~1\StartMessager.exe
F:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
F:\Program Files\D-Tools\daemon.exe
F:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
F:\WINDOWS\System32\P2P Networking\P2P Networking.exe
F:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
F:\Program Files\HP\HP Software Update\HPWuSchd2.exe
F:\Program Files\HP\hpcoretech\hpcmpmgr.exe
F:\Program Files\QuickTime\qttask.exe
F:\Program Files\Random Pictures\RandomP.exe
F:\WINDOWS\System32\RUNDLL32.EXE
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\SuperCopier\SuperCopier.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
F:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\WINDOWS\System32\HPZipm12.exe
D:\Utilitaires\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - F:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - F:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - F:\PROGRA~1\INSTAF~1\INSTAF~1.DLL (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - F:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - F:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - F:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - F:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\program files\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - F:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O4 - HKLM..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..\Run: [MessagerStarter Wanadoo] F:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM..\Run: [SpeedTouch USB Diagnostics] “F:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon
O4 - HKLM..\Run: [PCprot] crcss.exe
O4 - HKLM..\Run: [Micr0s0ft Update Machine] wuamjrd.exe
O4 - HKLM..\Run: [DAEMON Tools-1033] “F:\Program Files\D-Tools\daemon.exe” -lang 1033
O4 - HKLM..\Run: [MMTray] F:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM..\Run: [.mssecure] F:\WINDOWS\System\mssecure.exe
O4 - HKLM..\Run: [System Services] system.exe
O4 - HKLM..\Run: [P2P Networking] F:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM..\Run: [mmtask] F:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM..\Run: [Media Access] F:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM..\Run: [HP Software Update] “F:\Program Files\HP\HP Software Update\HPWuSchd2.exe”
O4 - HKLM..\Run: [HP Component Manager] “F:\Program Files\HP\hpcoretech\hpcmpmgr.exe”
O4 - HKLM..\Run: [QuickTime Task] “F:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM..\Run: [Random Pictures] F:\Program Files\Random Pictures\RandomP.exe
O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM..\Run: [SpySpotter System Defender] F:\Program Files\SpySpotter3\Defender.exe -startup
O4 - HKLM..\Run: [winshost.exe] F:\WINDOWS\System32\winshost.exe
O4 - HKLM..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM..\RunServices: [PCprot] crcss.exe
O4 - HKLM..\RunServices: [Micr0s0ft Update Machine] wuamjrd.exe
O4 - HKLM..\RunServices: [System Services] system.exe
O4 - HKCU..\Run: [SuperCopier.exe] F:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU..\Run: [Micr0s0ft Update Machine] wuamjrd.exe
O4 - HKCU..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU..\Run: [winshost.exe] F:\WINDOWS\System32\winshost.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = F:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://f:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://f:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://f:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://f:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://f:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra ‘Tools’ menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider ‘xfire_lsp_9996.dll’ missing
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c10.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29953.00optYplkOmji/SpySpotterCabInstall.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - F:\WINDOWS\System32\HPZipm12.exe

Alors du plus dangeureux au moins dangeureux :
O4 - HKLM..\Run: [PCprot] crcss.exe (<----- Voilà le ver en question qui fait chier :))
O4 - HKLM..\Run: [.mssecure] F:\WINDOWS\System\mssecure.exe (et hop son petit frère)
O4 - HLM..\Run: [System Services] system.exe (et tiens encore un petit frère)
O4 - HKLM..\Run: [Micr0s0ft Update Machine] wuamjrd.exe (la bonne blague… Microsoft avec deux 0 à la place des O)
O4 - HKLM..\Run: [winshost.exe] F:\WINDOWS\System32\winshost.exe (il est mimi)

Moyennement dangeureux ? (en gros je sais pas ce que c’est virus ou pas, dans le doute : supprimer !)
F:\WINDOWS\System32\P2P Networking\P2P Networking.exe
O4 - HKLM..\Run: [P2P Networking] F:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM..\Run: [SpySpotter System Defender] F:\Program Files\SpySpotter3\Defender.exe -startup (soit c’est un anti-spyware : au quel cas, le jetter parce que là il sert à rien :] soit c’est un virus qui se mue en protection pour te leurer)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

y’a plus qu’à checkez les box et cliquer sur erase, clean, fix → reboot et on re hijack this histoire de vérifier :]

Merci qui ?

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Tient, C4 est équipé Nvidia ;)

Ben c’est le merdier quand même, ça pique les yeux lol ^^_
Aller, fait nous vite le ménage x]

combien d’agcs t’as eu pour ce post ? :slight_smile:

Merci Fluo, j’vais voir ce que j’arrive a faire :smiley:

Sinon, j’en ai eu pour 100 et quelques AGC’s :stuck_out_tongue:

MSIE: Internet Explorer v6.00 SP

Voila aussi un de tes principaux problèmes

question : crcss.exeest systematiquementun ver?
parce que je l’ai enprocess maispas sur hijackthis… :confused:

oui :slight_smile: google te le dira :]

pour le supprimer des process tu connais la manip par contre il doit y avoir un service qui te le réinstalle à chaque démarage, file nous ton log de hijack this et on regardera ça ensemble ::

oui :) google te le dira :]

pour le supprimer des process tu connais la manip par contre il doit y avoir un service qui te le réinstalle à chaque démarage, file nous ton log de hijack this et on regardera ça ensemble ::

edit :
euh j’avais mis mon log, mais en le relisant… ben c’est csrss.exe et non crcss.exe

au temps pour moi (<-- et non pas autant pour moi(((ouverture facile inside))))

Je n’ai qu’une chose a dire:

Les virus c’est aussi con que…que… Tiens ! Je sais ! Mino qui decouvre un tabouret en bois. Au debut, on s’interroge… on se demande d’ou çà vient…On se dit que l’on va pouvoir s’assoir dessus mais non… On ne peut pas rester de marbre devant de telles circonstances. Mais donc pourquoi 3 pieds en bois comme le cheval de troie (oulala…piquée derriere les broussaille celle là !), hein ??? Hein ??? dites Moi ?

Parceque 3 pieds DTC valent mieux qu’un!!! Donc moralité de l’histoire, vaux mieux plusieurs protections plutot qu’une seule…

:smiley:

http://wolfsnet76.free.fr/divers/minowned.jpg

euh j'avais mis mon log, mais en le relisant.... ben c'est csrss.exe et non crcss.exe

lol ca m’a fait peur j’ai le meme truc aussi :slight_smile:

Je n'ai qu'une chose a dire:

Les virus c’est aussi con que…que… Tiens ! Je sais ! Mino qui decouvre un tabouret en bois. Au debut, on s’interroge… on se demande d’ou çà vient…On se dit que l’on va pouvoir s’assoir dessus mais non… On ne peut pas rester de marbre devant de telles circonstances. Mais donc pourquoi 3 pieds en bois comme le cheval de troie (oulala…piquée derriere les broussaille celle là !), hein ??? Hein ??? dites Moi ?

Parceque 3 pieds DTC valent mieux qu’un!!! Donc moralité de l’histoire, vaux mieux plusieurs protections plutot qu’une seule…

:smiley:

toi en fait, tu avais envie de poster cette photo en parlant du tabouret, et t’a cherché dans tout les posts ou tu pouvait le placer…

(non lache cette batte de baseball coyote!)

Coyote : Je découvre pas le tabouret, je fait juste remarquer ton état en faisant un subtile rébut : Tabouret (comprendre Té bouré !) :lol:

CSRSS.EXE n’esp pas un trojan c’est un outil (non indispensable) de windows : oui, mais je sais plus lequel mais sur tout les forums et autre google, ils expliquent bien que ce n’est pas un virus :] c’est donc normal.

Mùerci coyotte pour ce moment de divertissement avec un tabouret

PTDR mon chti Mino !!!