Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]suppression lignes rapport hijack


goundroune
 Partager

Messages recommandés

Bonjour,

 

je voudrait savoir quel lignes je peux supprimer dans mon rapport hijack

 

svp

 

merci d'avance

 

Logfile of HijackThis v1.99.1

Scan saved at 18:01:33, on 22/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\ScanSoft\OmniPage15.0\Opware15.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE

C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\WINDOWS\explorer.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [Opware15] "C:\Program Files\ScanSoft\OmniPage15.0\Opware15.exe"

O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - HKLM\..\Run: [Office SturtUp] osa9.exe

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir le fichier PDF dans Word (PDF Converter 3.0) - res://C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /300

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lien vers le commentaire
Partager sur d’autres sites

Bonjour goundroune,

 

Avant de faire une optimisation, il est préférable de savoir si ton PC est sain ( qu'il n'héberge pas un malware ).

 

Connais-tu " gfxtray " ?

 

Pour une optimisation, la première chose à faire c'est de supprimer tous les processus inutiles qui se lancent au démarrage du PC :

  • Clique sur Démarrer
  • Clique sur Exécuter
  • Dans la fenêtre qui s'ouvre : Tape msconfig et clique sur OK
  • Dans la nouvelle fenêtre : clique sur l'Onglet " Démarrage "
  • Dans la nouvelle fenêtre : Décohe toutes les cases SAUF : Antivirus - Firewall - Anti-spyware, et éventuellement " connexion "
  • Clique sur OK
  • Une nouvelle fenêtre s'ouvre pour te demander de prendre en compte les modifications : Clique sur le bouton Redémarrer
  • Dans la nouvelle fenêtre qui va s'ouvrir ( Utilitaire de configuration système ) : Coche la case " ne plus afficher ce message ", et clique sur OK

Pas d'inquiétude : les cases que tu as décochées dans l'onglet Démarrage, tu pourras, éventuellement, les recocher par la suite si cela ne te conveint pas ( en reprenant la procédure indiquée ).

 

Le cas de ctfmon.exe : Pour pouvoir supprimer ctfmon.exe au démarrage, tu dois faire avant :

Panneau de configuration > Options régionales et linguistiques > Langues > Détails > Barre de langue > Cocher la case " Arrêtez les services de texte avancés ".

Après tu peux décocher la case dans l'Onglet "Démarrage" de msconfig.

 

 

 

Ensuite tu configures tes services en te servant du tuto de Tesgaz ( bien lire les commentaires ) :

http://speedweb1.free.fr/frames2.php?page=service4

 

Pour accéder aux Services, voici 2 solutions :

 

1°) Démarrer > Exécuter et tape : services.msc

 

2°) Démarrer > Panneau de configuration :

  • Double-clique sur " Outils d'administration "
  • Double-clique sur " Services "

Dans la fenêtre qui s’affiche, tu as accès aux services présents sur ton PC :

  • Double-clique sur le Service dont tu veux modifier le démarrage.
  • Dans la fenêtre qui s'ouvre, tu as les possibilités suivantes :
    1°) Arrêter ce service en cliquant sur le bouton " Arrêter "
    2°) Modifier le démarrage en cliquant sur la petite flèche de la fenêtre " Type de démarrage " ( menu déroulant ).
  • Une fois ton choix effectué : Clique sur OK
  • Clique sur le bouton " Appliquer " ( pour prendre en compte tes modifications ).
  • Clique sur OK
  • Clique sur " Fichier " dans la barre des menus.
  • Clique sur " Quitter "

Redémarre ton PC.

 

Dans le doute sur un service, tu le mets en Manuel.

 

Cordialement.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

gfxtray : Fais une recherche sur Google, tu devrais trouver.

 

Dans le Gestionnaire de tâches, tu devrais avoir entre 23 et 27 processus ( selon ce que tu as laissé dans les services ).

 

Est-ce que ton PC marche mieux ?

 

Cordialement.

Lien vers le commentaire
Partager sur d’autres sites

Mauvaise idée que de faire decocher dans msconfig /demarrage sans avoir auparavent maitrisé l'infection, elle sera toujours presente, certe non active au boot mais là!!!

 

cette ligne est bien infectieuse:

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd

 

C:\WINDOWS\system32\ctccw32.dll

[DETECTION] Is the Trojan horse TR/Drop.Agen.ru.2.A

 

Il va falloir que tu recoches cette ligne dans msconfig/demarrage pour pouvoir maitriser l'infection ensuite :

 

donc tu lance HJT "do a system scan only" et tu coches et clic fixchecked cette ligne

 

puis tu vas en executer---> %systemroot%\system32\

supprimer si restante ctccw32.dll

(peut etre necessaire d'afficher dossiers et fichiers cachés)

 

__________________________

 

Un conseiller securité te demandera d'autres manœuvres certainement, je n'ai pas le temps en ce moment ;o)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour angelique,

 

Tu as bien fait de me reprendre ( je n'ai pas tes compétences ).

 

Mais j'avais noté :

Avant de faire une optimisation, il est préférable de savoir si ton PC est sain ( qu'il n'héberge pas un malware ).

 

Effectivement j'aurais du lui indiquer de poster son log HijackThis sur le forum approprié.

 

Cordialement.

 

EDIT : goundroune a posté le 22.06.2007 son rapport sur le forum : Analyse rapports HijackThis, mais je vois qu'il n'a pas été jusqu'au bout.

Modifié par wong
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir goundroune,

 

Je ne te fais aucun reproche ( je me permettrais pas ).

 

Tu peux très bien avoir suivi une autre procédure.

 

De toutes façons, comme l'indique angélique, tu peux recocher la case.

 

Je ne connaissais pas ce fichier, c'est pourquoi je t'ai posé la question.

 

Cordialement

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...