[résolu] bha voilà ! HijackThis sous Vista !

LoGiC · le 8 juillet 2007

bonsoir a tous !

sous vista depuis cet APM ... j'ai commencé par sécuriser la bête, désactiver les services inutiles (dieu qu'il y en a !) install des mes logs .... parfait ! je termine par un p'tit coup de HijackThis pour verifier et virer tous les RX les BHO et 08/09 qui traînent ..... et là ........!!!!!!!!!!????!!!!!!

des lignes que je n'avais jamais vu auparavant ..........!

si un membre de l'espace sécu connait ==> avec plaisir !!!!

mon log: (pas pressé du tout !)

Logfile of HijackThis v1.99.1

Scan saved at 02:17:26, on 08/07/2007

Platform: Unknown Windows (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Windows\System32\mobsync.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

O1 - Hosts: ::1 localhost ==>

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O13 - Gopher Prefix: ==>

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\Windows\system32\klogon.dll

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

merci a vous !

EDIT==> pc acheté cet apm avec vista préinstallé !

Modifié le 28 août 2007 par guronsan

LoGiC · le 8 juillet 2007

bonjour a tous,

me permet un p'tit UP !

LoGiC · le 10 juillet 2007

salut all,

me permet de déterrer mon topic des profondeurs du forum ......

je m'interroge également sur ces lignes :

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

le (file missing) m'interpelle ?!?

@+

LoGiC · le 15 juillet 2007

salut tout le monde !

bon, voudrait pas etre chiant....... mais je up ma demande !

bon week end !

LoGiC · le 7 août 2007

salut,

me sens un peu seul dans ce topic !

bon, en parcourant google (pauvre en éléments sur vista) j'ai refait un peu le menage.

je precise que mon vista tourne a la perfection (peut être même plus rapide que xp) bref ,

je suis tout de même un peu perdu sur quelques lignes que je ne comprends pas malgré mon insistance !

ci-dessous un nouveau log :

Logfile of HijackThis v1.99.1

Scan saved at 03:35:52, on 07/08/2007

Platform: Unknown Windows (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\Windows\system32\Dwm.exe ==>

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

O1 - Hosts: ::1 localhost ==>

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll ==>

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll ==>

O13 - Gopher Prefix: ==>

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\Windows\system32\klogon.dll

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing) ==>

voilà les amis, au cas où, si vous avez deux minutes ....

bonne soirée ! :P

le 8 août 2007

Bonsoir.

DWM => Desktop Window Manager = en charge du coté graphique de Windows Vista (Aero, etc.)

O1 - Hosts: ::1 localhost => cette ligne concerne et se retrouve dans votre host file, vous en avez 2 types, l'ancien pour IPv4 et celui ci pour IPv6

nlaapi.dll => Network Location Awareness API, en charge des localisations réseau (c'est la version 2) donc légitimes Windows

qwave.dll => Quality Windows Audio-Video Experience, prend en charge le stream audio, vidéo d'éditeurs tierce partie. Chez vous elle n'est pas utilisée.

Gopher => http://fr.wikipedia.org/wiki/Gopher (je préfère vous diriger sur ce lien).

Cela pourra t-il satisfaire votre demande ?

Cordialement.

LoGiC · le 8 août 2007

salut JoK,

déjà, merci de t'etre penché sur mon rapport !

Cela pourra t-il satisfaire votre demande ?

on peut pas faire mieux !

qwave.dll => Quality Windows Audio-Video Experience, prend en charge le stream audio, vidéo d'éditeurs tierce partie. Chez vous elle n'est pas utilisée.

à dégager donc ....

par contre, un truc que je pige pas c'est :

Gopher => http://fr.wikipedia.org/wiki/Gopher (je préfère vous diriger sur ce lien).

ça me dit :

Gopher, du nom de l'écureuil américain aussi appelé « spermophile », est un protocole de l'Internet. Mis au point par l'université du Minnesota pour la consultation d'informations organisées sous la forme d'une arborescence de menus hiérarchiques, il fonctionne en mode caractère.

==>

je t'embètes une derniere fois si tu veux bien !

le 8 août 2007

Bonsoir

Le protocole Gopher n'est pas utilisable avec IExplorer 7. Restent Mozilla pour pouvoir afficher quelques sites utilisant un tel protocole.

Aujourd'hui, pour naviguer sur des sites Gopher, plusieurs solutions libres existent : le navigateur Mozilla Firefox à partir de la version 1.5, la suite Internet SeaMonkey, le navigateur en mode texte Lynx, le navigateur spécialement développé pour Mac OS X, Camino sont parmi les plus connues. Konqueror a besoin dâ€™une extension comme kio_gopher[1].

Pour ma part, je n'ai pas vu pour le moment de site utilisant gopher.

Petit trait d'humour, un hjt vide, ce n'est pas très joli.

Au final, si vous supprimez cette ligne, gardez quand même la sauvegarde dans un coin. Idem pour qwave.dll que vous pouvez désactiver via les services.msc. Cette ligne 023 n'apparaitra plus.

Cordialement.

Modifié le 9 août 2007 par JoK

LoGiC · le 9 août 2007

re,

Le protocole Gopher n'est pas utilisable avec IExplorer 7

m'en fout ! je n'utilise pas I.E !

Pour ma part, je n'ai pas vu pour le moment de site utilisant gopher.

moi non plus.... j'utiliserais quand ce sera utile !

Au final, si vous supprimez cette ligne, gardez quand même la sauvegarde dans un coin.

ok

pour qwave.dll que vous pouvez désactiver via les services.msc

déjà fait suite a ton analyse sur le precedent post !

Petit trait d'humour, un hjt vide, ce n'est pas très joli.

comme dirais ipl-001,

cela donne une sensation de propreté, de netteté, de liberté ! icon_wink.gif

je suis plutôt pour un log comme celui de tesgaz

==> http://forum.zebulon.fr/index.php?showtopic=69732&st=0

bref, nouveau log :

Logfile of HijackThis v1.99.1

Scan saved at 02:37:14, on 09/08/2007