Rapport Hijackthis

[jere67]

Bonjour tout le monde,

 

1erement, je tiens à remercier les acteurs de ce site et les remarques pertinente ou pas des commentaires, elles nous permettent d’élargir, nos réflexions (surtout les miennes:lol:) sur son PC et ses composant(e)s… j’ai ainsi eu grâce a vous.. des réponses a des questions qui m’était jamais venu a l’esprit (c’est pas beau…ca ? ) je pense avoir tout lut (sauf les forums enfin presque), apprécier certaines astuces, d’autres moins, enfin blabla y en a pour tous BVOOOOOO et continuer, car c’est D’UTILITE PUBLIQUE (enfin pour moi, doit pas être le seul).

 

Mais voila, j’aime ma bécane et il y a quelques semaines après chargé un jeu sur le net, j’ai malheureusement click sur 1 lien se nommant sytemdoctor et là patatrac:-?…. J’ai lancé TuneUp Utilities 2006, CCleaner, et bien sur mon Kaspersky Anti-Virus Personal, mais malheureusement Ad-Aware SE Personal découvrent autant de fois par jour des TRACKING COOKIE qui sont certes en quarantaines.

 

Hijackthis est un programme qui répertorie beaucoup de choses, mais je suis pas assez affuté en informatique malgré votre tutorial (remarquable), j’ai peur de faire des conneries qui serait cata pour mon BB…donc je me permets de vous soumettre mon rapport afin que si 1 bonne âme, me dise quelles lignes dois-je réparer, supprimer etc.…

 

 

Merci par avance de votre diligence, dslé de la longueur de mon blabla et ma non connaissance du langage informatik

 

Logfile of HijackThis v1.99.1

Scan saved at 04:24:43, on 20/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.noos.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe (file missing)

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe (file missing)

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

[regis56]

bonjour jere67 et bienvenue sur le forum zeb-sécu !

 

Peut tu suivre ce tuto STP

 

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

 

* Comment participer à un forum

http://forum.zebulon.fr/index.php?showtopic=98948

* retrouver ses messages et activer la notification par email

http://forum.zebulon.fr/index.php?showtopic=100593

 

Peux tu préciser quels sont les symptômes ou les disfonctionnements que tu rencontres ? Quel est l'outil qui te détecte ton infection ? Enfin, commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, et sur le placement de Hijackthis.exe.

 

Phase 1

 

* Faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

* Télécharger Antivir

http://www.free-av.com/

* Installer Antivir : Il est impératif de le configurer correctement afin de faire le meilleur scan possible ,

voir la procédure suivante (imprimez la) => Tutoriel de tesgaz

http://speedweb1.free.fr/frames2.php?page=tuto5

* Allez jusqu'à l'étape: Configuration du tutoriel de tesgaz, dans ce paragraphe , seule la partie suivante nous interesse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives" .Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".

* Si l'utilisateur désire conserver Antivir une fois la procédure de prénettoyage terminée(parce qu'il n'a pas d'antivirus par exemple) , il devra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !

 

PRECISIONS IMPORTANTES: le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

- failles de votre antivirus qui a laissé passer des malwares

- Antivir peut-être installé et désinstallé facilement

- Antivir est reconnu pour son efficacité en mode sans échec

- le tutorial de tesgaz permet de le paramétrer sans problème.

 

* Télécharger la dernière version d'HijackThis

http://www.merijn.org/files/hijackthis.zip

 

OU LA( en cas d'indisponibilité !)

http://telechargement.zebulon.fr/138-hijackthis-1991.html

 

Phase 2

 

* Redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

* Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec=>

Comment démarrer l'ordinateur en mode sans échec

http://service1.symantec.com/support/inter...020905112131924

* A l'ouverture de session, choisir la session courante et non celle de l'administrateur

* Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>

 

-Activer la case : "Afficher les fichiers et dossiers cachés"

-Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

-Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

-Puis, cliquer sur "Appliquer".

 

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

* Nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider

* Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel, comme indiqué ci-dessous.

Utilisateurs XP, assurez vous également de faire ceci => suppression de tous les fichiers contenus dans les dossiers=>

-C:\TEMP

-C:\WINDOWS\TEMP

-C:\Documents And Settings\Session utilisateur\Local Settings\Temp

-C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

-Vider la corbeille

 

* Recherche et élimination des parasites avec Antivir=>

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

Sauvegarder le rapport!

* Désinstallation d'Antivir(pour ceux qui ne souhaitent pas conserver le logiciel)=> terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

* Redémarrer le PC en mode normal

 

* Installation et utilisation d'HijackThis=>

* Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis.

Renommer Hijackthis.exe en [votre pseudo sur zebulon].exe (ne pas insérer d'espace, ponctuation ou de caractères accentués dans le nom); créer un raccourci sur le bureau.

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

* Arrêter tous les programmes en cours et fermer toutes les fenêtres

* Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

* Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

Phase 4

 

- Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire. Puis faire de même avec le rapport antivir.

- Attendre l'analyse et la réponse.

Auteur : Megataupe / nouveau canned par Charles Ingals

 

Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :

-Exécute Hijackthis

 

* Clique sur Open the misc tools sections

* Clique sur Open uninstall Manager

* Clique sur Save list

 

-Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

 

A bientôt.

[jere67]

bonjour jere67 et bienvenue sur le forum zeb-sécu !

 

Peut tu suivre ce tuto STP

 

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

 

* Comment participer à un forum

http://forum.zebulon.fr/index.php?showtopic=98948

* retrouver ses messages et activer la notification par email

http://forum.zebulon.fr/index.php?showtopic=100593

 

Peux tu préciser quels sont les symptômes ou les disfonctionnements que tu rencontres ? Quel est l'outil qui te détecte ton infection ? Enfin, commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, et sur le placement de Hijackthis.exe.

* Télécharger la dernière version d'HijackThis

http://www.merijn.org/files/hijackthis.zip

 

OU LA( en cas d'indisponibilité !)

http://telechargement.zebulon.fr/138-hijackthis-1991.html

 

Phase 2

 

* Redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

* Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec=>

Comment démarrer l'ordinateur en mode sans échec

http://service1.symantec.com/support/inter...020905112131924

* A l'ouverture de session, choisir la session courante et non celle de l'administrateur

* Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>

 

-Activer la case : "Afficher les fichiers et dossiers cachés"

-Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

-Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

-Puis, cliquer sur "Appliquer".

 

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

* Nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider

* Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel, comme indiqué ci-dessous.

Utilisateurs XP, assurez vous également de faire ceci => suppression de tous les fichiers contenus dans les dossiers=>

-C:\TEMP

-C:\WINDOWS\TEMP

-C:\Documents And Settings\Session utilisateur\Local Settings\Temp

-C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

-Vider la corbeille

 

* Recherche et élimination des parasites avec Antivir=>

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

Sauvegarder le rapport!

* Désinstallation d'Antivir(pour ceux qui ne souhaitent pas conserver le logiciel)=> terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

* Redémarrer le PC en mode normal

 

* Installation et utilisation d'HijackThis=>

* Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis.

Renommer Hijackthis.exe en [votre pseudo sur zebulon].exe (ne pas insérer d'espace, ponctuation ou de caractères accentués dans le nom); créer un raccourci sur le bureau.

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

* Arrêter tous les programmes en cours et fermer toutes les fenêtres

* Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

* Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

Phase 4

 

- Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire. Puis faire de même avec le rapport antivir.

- Attendre l'analyse et la réponse.

Auteur : Megataupe / nouveau canned par Charles Ingals

 

Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :

A bientôt.

[jere67]

Bonjour regis56,

 

merci de ta réactivitée, le seul inconvénient rencontré a ce jour se sont les rapports Ad-Aware SE Personal, qui détecte des coockies plus ou moins délicats (choses que je n'avais pas avant)

 

je vais lire et suivre tes recommandations, mais apres 1 brève lecture, j'ai déjà les neuronnes en ébulition

 

j'applik tes recommandations et donnerai suite...au cas tu serais dispo, mais merci déjà

 

jérôme

 

 

 

ArchiveData(auto-quarantine- 2006-08-13 14-02-55.bckp)

Referencefile : SE1R118 07.08.2006

======================================================

 

MRU LIST

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

obj[0]=MRU RegReference : S-1-5-21-2011979532-3729998056-1141582320-1006\software\microsoft\windows media\wmsdk\general computername

 

TRACKING COOKIE

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

obj[1]=IECache Entry : Cookie:julyjere@tribalfusion.com/

obj[2]=IECache Entry : Cookie:julyjere@bluestreak.com/

obj[3]=IECache Entry : Cookie:julyjere@ads.pointroll.com/

obj[4]=IECache Entry : Cookie:julyjere@kelkoo.fr/

obj[5]=IECache Entry : Cookie:julyjere@kelkoo.com/

obj[6]=IECache Entry : Cookie:julyjere@2o7.net/

obj[7]=IECache Entry : Cookie:julyjere@as1.falkag.de/

obj[8]=IECache Entry : Cookie:julyjere@advertising.com/

obj[9]=IECache Entry : Cookie:julyjere@atdmt.com/

obj[10]=IECache Entry : Cookie:julyjere@estat.com/

obj[11]=IECache Entry : Cookie:julyjere@adtech.de/

obj[12]=IECache Entry : Cookie:julyjere@247realmedia.com/

obj[13]=IECache Entry : Cookie:julyjere@fastclick.net/

obj[14]=IECache Entry : Cookie:julyjere@weborama.fr/

obj[15]=IECache Entry : Cookie:julyjere@mediaplex.com/

obj[16]=IECache Entry : Cookie:julyjere@doubleclick.net/

obj[17]=IECache Entry : Cookie:julyjere@statcounter.com/

obj[18]=IECache Entry : Cookie:julyjere@tradedoubler.com/

obj[19]=IECache Entry : Cookie:julyjere@www.smartadserver.com/

obj[20]=IECache Entry : Cookie:julyjere@statse.webtrendslive.com/

obj[21]=IECache Entry : Cookie:julyjere@media.fastclick.net/

obj[22]=IECache Entry : Cookie:julyjere@iv2.bluestreak.com/

[regis56]

Re

 

Les cookies que tu montre n'ont rien de méchant !

 

Mais suit le tuto et on sera fixé.

 

A plus.

[jere67]

Re

 

Les cookies que tu montre n'ont rien de méchant !

 

Mais suit le tuto et on sera fixé.

 

A plus.

 

 

Je bosse sur ce dernier

 

Kaspersky a relevé pas plus tard que cet am intrusion. Win.MSSQL.worm. Helkem l attaque via le protocole via le protocole UDP depuis l'adresse 220.191.160.222 sur le port loca...a été repoussé et cela 3 fois sur 6 heures de temps (dites c'est grav doc? ... allez je bosse lol merci

[regis56]

Re

 

Des attaques venant d'internet il y en a tout le temps !

 

Ton AV est trop bavard tu dois avoir une option pour contrer les attaques en mode silencieux quelque chose comme ca.

 

A plus.

[jere67]

Re

 

Des attaques venant d'internet il y en a tout le temps !

 

Ton AV est trop bavard tu dois avoir une option pour contrer les attaques en mode silencieux quelque chose comme ca.

 

A plus.

 

 

Bonjour,

 

Apres 1 grosse panique, j'ai même failli réinstaller mon system, car j'avais sacré plantage 3/4h pour démarrer et pire rien ne chargeais et tout simplement quand j'ain installer ANTIVIR....

 

Donc maintenant, je serais qu'il faut pas avoir 2 anti-virus actif en même temps (conflitsd d'anti virus), grosse sueur, panique, perte de temps etc.....

 

Je vais enfin pouvoir suivre les indications

 

Merci @+