Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

kuma_buzz

Analyse de rapport HijackThis

Messages recommandés

Bonjour,

 

 

Après avoir effectué la procédure de "pré-nettoyage d'un PC infecté", je vous soumet mon rapport HijackThis afin de finir de nettoyer mon pc :

 

Logfile of HijackThis v1.99.1

Scan saved at 17:41:18, on 23/11/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

 

Running processes:

C:\WINNT\system32\HPZipm12.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\PDesk\PDesk.exe

C:\Program Files\MouseWarePro\MWProEng.exe

C:\Program Files\VeriSign\NAVI\naviagent.exe

C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

C:\WINNT\system32\internat.exe

C:\Program Files\winzip\WZQKPICK.EXE

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE

C:\Documents and Settings\cara\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O1 - Hosts: 139.124.158.136 HP000D9D1E23EE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [MWProEng] C:\Program Files\MouseWarePro\MWProEng.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [navi] "C:\Program Files\VeriSign\NAVI\naviagent.exe" uimode=agentupdate

O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe"

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Task Bar] C:\WINNT\taskbar.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\winzip\WZQKPICK.EXE

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O12 - Plugin for .aif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .fr/cgi-bin/webmailexe/BodyPart?ID=Icbd_gl6YKiwktjpyQhKEt9_nMQwEIjS_N7NW09Q6ogVmQb&Act_View=1&R_Folder=inbox&msgID=197&Body=2&filename=BodyPart: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {C79F0120-EF94-4FAC-8248-6F30B92E9524} (AdValiderInterface Class) - http://www.journal-officiel.gouv.fr/verifi...iderWeb_DJO.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{97399597-71C8-4CC8-A4BC-98EB5B9BAA7A}: Domain = timone.univ-mrs.fr

O17 - HKLM\System\CCS\Services\Tcpip\..\{97399597-71C8-4CC8-A4BC-98EB5B9BAA7A}: NameServer = 194.254.147.251,139.124.236.65

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Unknown owner - C:\Program Files\HP\e-DiagTools\Service.exe

O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe

O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe

O23 - Service: ndserv - Open Software Associates Ltd. - C:\Program Files\netDeploy\Launcher\ndserv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

 

 

Si quelqu'un peut m'indiquer les lignes suspectes, je l'en remercie par avance :P

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour kuma_buzz,

 

as tu modifié ton fichier host? connais tu?

 

O1 - Hosts: 139.124.158.136 HP000D9D1E23EE

 

 

apparement ca concernerait:

 

39.124.0.0 - 139.124.255.255

RRM - Reseau de la Recherche a Marseille

Universite de la Mediterranee

58 Boulevard Charles Livon

13284 Marseille CEDEX 07

 

Je ne connais pas beaucoup windows 2000 j'aimerai donc une petite analyse sur un fichier.

 

 

1/affiche tout les fichiers:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

 

2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser taskbar.exe qui se trouve ici:

 

C:\WINNT\taskbar.exe

 

 

et post le resultat.

 

@+

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut bruce lee, et merci pour ton aide.

 

Non effectivement je ne sais pas ce que c'est que "HOST", par contre l'ip affiché est celle qui m'est attribuée par le serveur de la fac ou je me trouve, et l'encadré que tu a mis en dessous y correspond.

 

 

Sinon pour le fichier "taskbar.exe" il fait 0 octets, ce qui fait qu'il est impossible à analyser via le lien que tu m'a fourni.

 

 

Si d'autres manips sont à faire, je garde un oeil sur ce post ^^

Partager ce message


Lien à poster
Partager sur d’autres sites

re,

 

Télécharge le programme Submit File Packer http://www.safer-networking.org/files/sfp.zip

 

redémarre le pc impérativement en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

Ouvre le programme Submit File Packer et copie/colle le chemin de fichier suivant dans la fenêtre qui s'est ouverte:

 

C:\WINNT\taskbar.exe

 

clique sur le bouton Continue

Cela va créer une archive de ce fichier sur ton bureau nommée requested files[date].cab

Renomme ce fichier et appele le pseudo suivi de l'extension .cab ce qui donnerai pour moi: bruce lee.cab

 

redemarre en mode normal

 

Et fait analyser le fichier ici http://virusscan.jotti.org/ poste ensuite le resultat

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×