Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Besoin d'aide pour analyser mon rapport HijachThis

Solalariane
 Partager

Messages recommandés

Solalariane Junior Member

Solalariane

Posté(e)
Posté(e)

Bonjour à tous,

 

C'est la première fois que j'utilise HijackThis et je ne comprends pas bien ce que je dois "fixer". Si quelqu'un avait la gentillesse d'analyser mon rapport cela m'aiderait beaucoup. Merci.

 

A l'origine de tout cela : un fort ralentissement de ma machine quand je me connecte à internet et une éradication difficile de virus ou trojan depuis plus d'un mois, malgré l'utilisation de tout l'arsenal de logiciels antivirus.

 

Voici le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 10:38:00, on 15/08/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

C:\Program Files\QuickTime\QTTask.exe

C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {467AA277-0B97-4861-B521-8D4513DB5B85} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI

O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{E73F11D7-2AB9-4401-8158-F98896EA186B}: NameServer = 192.168.1.1

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Merci d'avance à celui ou celle qui voudra bien consacrer du temps à lire ce rapport et à me répondre.

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Salut,

 

1°)Analyse de ton rapport hijackthis :

 

Reouvre hijac
k
thi
s
et coche

 

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe

 

Enfin FERME TOUT LES LOGICIELS OUVERT PUIS CLIQUE SUR FIX CHECKED

 

2°) PROCEDURE

 

 

1
°
) Le
s
T
é
l
é
chargement
s
de fix a mettre dan
s
un do
s
s
ier
s
ur ton bureau

  • Télécharge ATF-Cleaner(Atribune) dispo sur ce site
  • Télécharge Avg Antispyware dispo sur ce site

 

2°) La procédure

  • Installe Avg Antispyware une fois lancé clique sur l'icone de l'horloge puis commencer la mise à jour
  • Ensuite clique sur la loupe et dans l'onglet parametres dans la partie comment reagir tu mets SUPPRIMER pour cela tu cliques sur le lien bleu
  • Une fois cela fait tu peux fermer le programme
  • redemmarre ton pc en mode sans echec (F8 au démarrage puis choisis mode sans echec)
  • Lance ATF-Cleaner puis tu coches select all puis Empty Selected
  • Le message suivant doit apparaitre : no files were deleted
  • Rend toi sur l'onglet Firefox puis fait la meme chose
  • Une fois cela fini tu peux fermer le logiciel puis lancer AVG AS via l'icone sur ton bureau
  • Lance une analyse complète puis poste le rapport

Amicalement

 

Eclypse

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

Salut,

 

Je me permets de rajouter ceci.

 

Ton Windows n'est pas à jour, il contient des failles de sécurités, les virus passent par ces failles pour infecter ton ordinateur.

Ton Windows est donc vulnérable.

Cela sert à rien de commencer une désinfection tant ton Windows n'a pas été mis à jour sinon les virus vont revenir.

 

Vas sur cette page et télécharge le service pack 1a : http://www.microsoft.com/windowsxp/downloa...p1/network.mspx

Mets bien French à droite et clic sur OK pour télécharger le service pack 1a en Français.

 

Tu as un parefeu.. mais s'il se désactive, c'est l'infection.

Ton Internet Explorer n'est pas à jour, un site pourri et c'est l'infection.

etc.. etc..

 

Pour plus d'informations sur les failles de sécurités distantes, lire l'article suivant : http://forum.malekal.com/ftopic3452.php

Solalariane Junior Member

Solalariane

Posté(e)
  • Auteur
Posté(e)
Salut,

 

1°)Analyse de ton rapport hijackthis :

 

Reouvre hijac
k
thi
s
et coche

Enfin FERME TOUT LES LOGICIELS OUVERT PUIS CLIQUE SUR FIX CHECKED

 

2°) PROCEDURE

1
°
) Le
s
T
é
l
é
chargement
s
de fix a mettre dan
s
un do
s
s
ier
s
ur ton bureau

  • Télécharge ATF-Cleaner(Atribune) dispo sur ce site
  • Télécharge Avg Antispyware dispo sur ce site

2°) La procédure

  • Installe Avg Antispyware une fois lancé clique sur l'icone de l'horloge puis commencer la mise à jour
  • Ensuite clique sur la loupe et dans l'onglet parametres dans la partie comment reagir tu mets SUPPRIMER pour cela tu cliques sur le lien bleu
  • Une fois cela fait tu peux fermer le programme
  • redemmarre ton pc en mode sans echec (F8 au démarrage puis choisis mode sans echec)
  • Lance ATF-Cleaner puis tu coches select all puis Empty Selected
  • Le message suivant doit apparaitre : no files were deleted
  • Rend toi sur l'onglet Firefox puis fait la meme chose
  • Une fois cela fini tu peux fermer le logiciel puis lancer AVG AS via l'icone sur ton bureau
  • Lance une analyse complète puis poste le rapport

Amicalement

 

Eclypse

 

 

Merci pour ton aide. J'ai appliqué les consignes à la lettre mais mon PC rame toujours autant lorsque je me connecte à internet.

 

Voici le rapport d'AVG :

 

Créé à: 14:39:29 15/08/2007

 

+ Résultat de l'analyse:

 

 

 

C:\lvxqr.exe -> Downloader.Tiny.ha : Nettoyé.

:mozilla.9:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\pb6zbb56.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

 

 

Fin du rapport

Solalariane Junior Member

Solalariane

Posté(e)
  • Auteur
Posté(e)

Quelqu'un peut-il m'expliquer pourquoi lorsque je me connecte à internet l'utilisation de mon UC passe de 15 % à 80-90 % ? Qu'est-ce qui peut solliciter autant de mémoire ?

 

J'ai installé TPCView et je m'aperçois que 2 processus sont très sollicités quand je me connecte à internet : ashMaiSv.exe et Services. exe. Est-ce normal ?

 

Merci d'avance aux hommes et aux femmes de bonne volonté qui voudront bien me répondre.

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Salut,

 

ashMaiSv.exe est un processus d'avast qui lui ne protege de rien donc je te conseil vivement de desintaller avast pour prendre Antivir et t'invite vivement à lire ce sujet

 

Amicalement

 

Eclypse

Solalariane Junior Member

Solalariane

Posté(e)
  • Auteur
Posté(e)

Je n'ai pas réussi à faire le scan en ligne Kapersky. Il s'est bloqué au fichier 223 et a provoqué un redémarrage du système.

J'ai fait à la place un scan avec Panda. Voici le résultat :

 

Incident Statut Analyse

 

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\pb6zbb56.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\pb6zbb56.default\cookies.txt[.advertising.com/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\pb6zbb56.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\pb6zbb56.default\cookies.txt[.bluestreak.com/]

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@247realmedia[1].txt

Spyware:Cookie/Smartadserver No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@smartadserver[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@tradedoubler[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[1].txt

Outil indésirable:Application/KillApp.B No Désinfecté C:\hp\bin\KillIt.exe

Outil indésirable:Application/KillApp.A No Désinfecté C:\hp\bin\Terminator.exe

Adware:Adware/MediaTickets No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EXBLE2CP\dohinst-103[1].0000

 

 

Qu'en pensez-vous cher ami ?

 

Merci encore de votre disponibilité.

Invité JoK

Invité JoK

Posté(e)
Posté(e) (modifié)

Bonsoir Solalariane.

 

Il vous faudrait redémarrer en mode sans échec.

 

Les entrées qu'on vous a fait fixer, c'est bien, mais il ne faut pas laisser ces fichiers sur le système.

 

Cherchez et mettez ces fichiers dans la corbeille, (attention à l'orthographe des noms de fichiers)

 

Isass.exe (ne pas confondre avec Lsass.exe qui est légitime)

firewall.exe

winIogon.exe (ne pas confondre avec winLogon.exe qui est légitime

scrcons32.exe

 

Les 3 premiers se touvent dans C:\Windows\System32 ; le dernier se touve dans C:\Windows\System32\wbem

 

Lorsque ce sera fait, relancez ATF Cleaner, onglet Main. Cochez toutes les cases. Puis cliquez sur Empty selected. Vous avez un spyware dans les fichiers temporaires internet de IExplorer.

 

Si vous laissez cette machine telle quelle, donc si vous décidiez de ne pas charger de service pack, je vous recommanderais très très fortement de vous créer un nouvel utilisateur, que vous laisserez en type administrateur. Hors connexion internet, vous passerez sur ce compte, et vous mettrez le vôtre actuel, en type standard.

 

Veillez également à ne jamais désactiver, et ceci pour quelque raison que ce soit, votre firewall.

 

Bonne continuation.

Modifié par JoK

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...