Bonjour à tous,
 
j'ai été infecté par le spyware "007 spy" et "warezP2P".
Spybot me les a supprimé sans problème, et c'est le seul à les avoir détecté.
 
Par contre j'ai beaucou d'entrées O23 générées par ces spy, et hijackthis n'arrive pas à les supprimer.
(Il les supprime, je re-scan, elles sont encore la...)
Même problème en mode sans échec.
 
Voici une partie du log, il y en a bien une centaine comme ca... :
 
O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\sensrsvc.dll,-1000 (SensrSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppuinotify.dll,-103 (sppuinotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (stisvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\themeservice.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%windir%\WindowsMobile\wcescomm.dll,-40079 (WcesComm) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
 
Sinon je suis sous W7 64bit si c'est utile à préciser.
 
Merci d'avance à tous ceux qui m'aideront

bonjour
 
surtout ne pas faire confiance à ce robot ( hijackthis.de ,ce n'est qu'un robot)qui n'a jamais été performant et qu'il l'est encore moins actuellement puisqu'il est incompatible avec la nouvelle version de hijackthis
heureusement que rien n'a été supprimé au vu du nombre de fichiers système "signalés"
 
si tu veux faire un diagnostic de ton PC fais ceci:
 

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Edites ton post et colle ton rapport ici :
--> http://www.hijackthis.de/fr

je pense que c'est justement cette page là qui lui signale à tord tous ces services comme étant vérolés

Oui j'avais collé mon rapport sur http://www.hijackthis.de/fr , c'est bizarre d'en avoir une centaine quand même ! Avant j'en avais une dizaine max !
En tout cas je vais testé ta solution quand je serais sur mon pc ce soir et je posterai mon log !

ce sont les services natifs de windows que la nouvelle version d'hijackthis v2.04 ne mets pas en 'liste blanche'
ensuite donc => mauvaise interprétation du robot sur laz page "hijackthis.de"
le bug a été signalé ,mais ils n'ont pas l'air de réagir pour l'instant
wait and see!

My bad >.<
Mes excuses, donc.

 
pas de souci Homer_simpson  
 
pas de bol pour "azerty25", la version 2.02 de "HJT" était incohérente sur les OS 64bits (vita ou 7) la nouvelle version est compatible mais il manque un filtre pour les services natifs de l'OS
 
pas de problème tant qu'on ne fait pas analyser par le robot => sinon tout est  x rouge

Voila le log de ZHPDiag : http://www.cijoint.fr/cjlink.php?f [...] Vitt57.txt

Aucun souci pour moi ce log est clean
 
tu devrais cependant mettre à jour ta version de java
désinstalle Java(TM) 6 Update 18 et sur ce site pour télécharger et installer la nouvelle version
/!\ attention à ne pas installer de barre d'outils "Yahoo" ou "Google" supplémentaires => pour cela décocher la case  
 
tu peux désinstaller zhpdiag comme ceci:
 
note: ZHPFix peut être activé soit à partir de ZHPDiag  en cliquant sur l'icône  
soit à partir du raccourci sur le Bureau si l'icône n'apparait pas.
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
 

• Lance ZHPFix en fonction de ton système d'exploitation.
• Clique sur l'icône représentant la lettre =>
• une liste des outils va apparaitre coche les cases des outils à désinstaller ou clique sur "Tous" en bas
• clique ensuite sur nettoyer
• copie le rapport généré à la fin et héberge le sur:cijoint.fr ( pas obligatoire )

 
purge ta restauration système pour éviter de réinfecter l'ordi si tu as besoin de revenir en arrière suis ce tuto si besoin
 
ceci dit les détections que tu signales "007 spy" et "warezP2P" sont aussi des log librement téléchargeables,tu aurais un rapport de détection a me montrer éventuellement ?
 
Bonne soirée
 
edit=correction url

Dac, niquel alors si le log est clean
 
Je n'ai pas les logs de spybot de quand ils les a détecté.
 
Je vais mettre java à jour.
 
Bonne soirée également.

 
Bonsoir, j'ai le même problème que toi, j'ai fait le scan et j'ai le log, où puis-je le déposer pour savoir ce qu'il faut supprimer ?
Merci d'avance

Salut Atharaxie,
 
Ouvre ton propre sujet, et un conseil héberge ton rapport sur ci-joint, il est interdit de poster les rapports directement sur le forum - lire la charte à ce sujet.
 
Comment héberger un rapport sur ci-joint :
 

• Clique sur ce lien : http://www.cijoint.fr/
• Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
• Clique sur Ouvrir.
• Clique sur Cliquez ici pour déposer le fichier.
• Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
• Copie-colle ce lien dans ta réponse.

Bonjour
 
il ne faut pas mettre de rapports complets sur ce forum
 
Pour déposer un log hijackthis se servir d'un hébergeur  comme http://www.cijoint.fr
 

• Si tu as des difficultés avec cijoint.fr => essaie un autre de ces hébergeurs
• http://cjoint.com/
• http://mes-fichiers.com/index.php/home
• http://www.toofiles.com/fr/documents-homepage.html
• http://www.gigaup.fr/

copier ensuite le lien sur ce forum dans ta prochaine réponse
 
ce que je disais plus haut au sujet d'Hijackthis est toujours d'actualité
surtout ne pas faire confiance au robot d'analyse qui te signalerait touts les lignes 023 comme infectées,il n'en est rien bien sûr ,les supprimer conduirait à rendre le PC inutilisable
 
plutôt qu'Hijackthis et pour un diagnostic plus complet je te propose de faire ceci:
 
 

• Télécharge ZHPDiag
• clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    ! sous vista/win7 => clic droit et "exécuter en tant qu'administrateur !

• Clique ensuite sur l'icône représentant une loupe

(« Lancer le diagnostic »)

• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  

(sauvegarder le fichier sous)  

• Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

ne colle pas le rapport complet sur ce forum ,c'est interdit
 
note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr
 
Pour déposer le ficher sur cijoint.fr  
 

• Clique sur "parcourir"lorsque tu es sur le site de cijoint.fr
• Indique ensuite le chemin vers le fichier ZHPDiag.txt sur le bureau

     - le chemin s'inscrit dans le champ de recherche (à coté de parcourir)
 
note: le fichier se trouve aussi sous C:\Program Files\ZHPDiag\ZHPDiag.txt
 

• clique sur "cliquez ici pour déposer le fichier"
• Patiente ,le temps de "l'upload",un lien de couleur bleu est affiché  

ex: http://www.cijoint.fr/cjlink.php?f [...] lc5NHg.txt

• c'est ce lien que tu dois poster dans ta réponse[/list]

• Si tu as des difficultés avec cijoint.fr => essaie un autre hébergeur

Merci, ci-joint ne voulait pas car la version est trop récente apparament.
Voici le lien : http://mes-fichiers.com/index.php/ [...] 07.02.2011
Merci de m'avoir répondu ! J'attends ta réponse.

Bonsoir Atharaxie  
 
Pas bien méchante l'infection sur ton PC en tout cas si on se base à ce qui est visible
 
pour commencer fais ceci dans l'ordre:
 
désactive le tea timer de spybot pour cela:

• Lancer Spybot
• Cliquer sur Mode, puis cocher Mode avancé
• Cliquer sur Outils puis sur Résident
• Décocher la case Résident "Tea Timer"
• fermer spybot

ensuite tu vas utiliser un logiciel spécialisé dans le traitement des adwares
 

•  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)  
•  enregistre-le sur ton bureau.

•  /!\ Déconnecte-toi d’internet et ferme toutes applications en cours /!\
• Double-clique sur l'icône" Ad-remover" située sur ton Bureau.
• Sur la page, clique sur le bouton « Nettoyer »
• Confirme l'opération
• Laisse travailler l’outil.
• héberge  le rapport qui apparaît à la fin sur cijoint.fr et poste le lien fourni dans ta réponse

    (Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt
 
    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
 
l'UAC (contrôle des comptes utilisateurs) est désactivée sur ton PC; est ce volontaire?
 
refais ensuite un ZHPdiag et poste le lien vers le rapport hébergé (en .txt => bloc note)

 
Bonjour, j'ai fait tout ça voici :
 
le lien Ad-Remover : http://mes-fichiers.com/index.php/ [...] clean1.txt
le lien ZHPdiag : http://mes-fichiers.com/index.php/ [...] 2.2011.txt
 
Pour l'UAC je sais pas si c'est volontaire, ça sert à quoi ? ^^
 
Merci d'avance

bonjour
 
il n'y a aucune infection sur ton PC  
connais tu les logiciels "prodiff "et "scitor" ?
 
pour l'UAC regarde ici => http://forum-windows.com/vista/tut [...] tiver-uac/
 

Scitor oui, prodiff ça me dit rien comme ça.
Ok pour l'UAC, je suis la seule utilisatrice du PC, donc oui c'est normal qu'il soit désactivé alors ^^
Merci !

Malwaresbyte peut-il aider dans ce genre de cas ?

Bonjour,
Je viens un peu tardivement sur ce forum mais j'ai un problème avec le logiciel "hijackthis".
J'ai pu faire mon scan malgré un message d'erreur au milieu de celui-ci
Mais en redémarrant mon pc j'ai ré-effectué un scan et les fichiers avec une croix rouge sont toujours présent...
 
Je suis sous Windows 7 , 64 bits .
 
Merci à vous

Bon, on est de nombreuses semaines après, mais je réponds tout de même.

Je lis ce sujet pour la même raison que toi et si tu lis justement un peu plus haut, tu verras que les analyses des logs ne sont pas correctes pour W7.
Donc, hijackthis t'a conseillé d'éliminer tout un tas de processus de windows.
Heureusement que windows ne se laisse pas faire et les remet en route tout seul.
Sinon, un coup d'hijackthis et hop, un PC W7 foutu.

Bonjour
 

 
Le scan avec Hijackthis ne sert qu'à diagnostiquer il ne supprime rien,il affiche un rapport qui doit être analyser en évitant le robot d'analyse si on ne sait pas exactement ce que l'on fait.
Pour supprimer les lignes liées aux infections ou inutile il faut exécuter "Fix checked" là aussi en connaissance de cause
 
ceci dit Hijackthis est totalement dépassé,de nombreux autres log de diag sont réellement beaucoup plus complet à commencer par ZHPDiag