fichier hijackthis

[phil78]

Bonjour,

suite a une infection et apres un passage de Norton, AD6,Spybot j'ai passé hijack

mais comme tous novice cela reste difficile a interpreter mis a part 4 lignes que j'ai deja supprimées.

Pouvez vous me dire si d'autre lignes sont suspectes?? dans le fichier ci dessous

d'avance merci

 

 

 

 

Logfile of HijackThis v1.97.7

Scan saved at 14:59:54, on 25/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Program Files\OutLaster\shhost.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\All Users\Documents\ArbeKillPub\ArbeKillPub.exe

C:\WINDOWS\system32\cidaemon.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Outlook Express\msimn.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\fr\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [K-Hack] "C:\Program Files\K-Hack\KHack.exe" /tray

O4 - HKLM\..\Run: [shhost] C:\Program Files\OutLaster\shhost.exe

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: ArbeKillPub.lnk = C:\Documents and Settings\All Users\Documents\ArbeKillPub\ArbeKillPub.exe

O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)

O9 - Extra button: Voiceglo directory (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O9 - Extra button: Wanadoo (HKCU)

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for ¸æ¬: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EC..._1021_FR_XP.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/ac...ta/SymAData.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game13.zylom.servicesalacarte.wanad...zylomloader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.fr/techsupp/activedata/ActiveData.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2651178F-9D11-44B2-A458-867977C0A655}: NameServer = 80.10.246.130 80.10.246.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{2651178F-9D11-44B2-A458-867977C0A655}: NameServer = 80.10.246.130 80.10.246.3

[PhReAkS2004]

Bjr,

Voilà déjà la ligne qu'il faut aussi supprimer de façon sûre (ton PC comme des millions d'autres est infecté par WebHancer, un spyware connu, )

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

Le Prog principal se trouve dans \Program files\Webhancer, mais il faut virer les compléments qui vont avec dans Windows (ils n'y sont peut-être plus tous, si tu en as déjà viré):

webhdll.dll

whagent.inf

whInstaller.exe

whInstaller.ini

Les fichiers temporaires d'install aussi sont à voir, dans Documents and settings/<utilisateur>/Local settings/Temp si tu as XP. Vides complètement le rép.

Ensuites relances Hijackthis, vérifies tes process en cours, et relances ton prog antispyware par sécurité.

J'espère que ça va t'aider...

A+

J-D

[ST@if]

B0nJ0Ur

 

O2 - BHO: (no name) - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll

4

 

Tu peux sans crainte enlever ceux-là aussi :

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[PhReAkS2004]

B0nJ0Ur

 

O2 - BHO: (no name) - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll

4

 

Tu peux sans crainte enlever ceux-là aussi :

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

Salut St@if,

Je ne comprends pas pourquoi tu veux lui faire virer les clés reg de son imprimante et de son prog de gravure. Pour iMesh, on peut la virer si on ne s'en sert pas car le prog contient un générateur de pub gonflant. Tous les BHO ne sont pas craignos...

A+

J-D

[Invité tesgaz]

salut,

 

 

et ceux la, c'est toi qui les a installé ?

 

ils ne sentent pas bon, a supprimer

O4 - HKLM\..\Run: [K-Hack] "C:\Program Files\K-Hack\KHack.exe" /tray

O4 - HKLM\..\Run: [shhost] C:\Program Files\OutLaster\shhost.exe

O4 - Startup: ArbeKillPub.lnk = C:\Documents and Settings\All Users\Documents\ArbeKillPub\ArbeKillPub.exe

[lordtoniok]

bha imesh est un service de p2p payant non??

[PhReAkS2004]

Re-slt

K-Hack est un prog de hacking de Kazaa, no problemo

OutLaster, connais pas, mais son exécutable est suspect : shhost.exe, ça ressemble trop à svchost, process normal de Windows. Alors à moins que tu ne l'aies installé toi-même, bon, tu fais ce que tu veux.

ArbeKillPub.exe, ben c'est comme son nom l'indique, un "tueur" de pubs. Pas de pb non plus.

Pour répondre à lordtoniok , oui iMesh est un P2P dont la version gratuite dispose d'un script astucieux : dès que tu tapes une recherche qui correspond à une de ses données, il t'envoie acheter ce que tu recherches sur un site commercial.

A+

J-D

[ST@if]

Je ne comprends pas pourquoi tu veux lui faire virer les clés reg de son imprimante et de son prog de gravure.

1/ Je ne veux rien lui faire virer du tout.

Ça désactive seulement des programmes qui se lancent au démarrage.

 

2/ Ces fichiers ne sont pas indispensables au bon fonctionnement du système.

C'est même le contraire qui se passe le + souvent.

Tu n'auras pas forcément besoin de ton imprimante à chaque fois que tu démarreras ton PC ou de graver ou de scanner la photo de ta souris en train de jouer à chat-perché ou que sais-je encore...

Rien ne sert d'avoir 36 trucs au démarrage

bha imesh est un service de p2p payant non??

À moins d'accepter la pub.

[Invité tesgaz]

K-Hack est un prog de hacking de Kazaa, no problemo

 

si, problémo !!! la charte

http://forum.zebulon.fr/index.php?act=SR&f=12

[PhReAkS2004]

On ne peut quand même pas aller jusqu'à nier leur existence, si?

Dans ce post je rappelle à ma décharge qu'il s'agissait de l'analyse d'un fichier hijackthis dans lequel se trouvait cette clé de registre, et non de faire l'apologie du crime. S'il s'agit d'un threat, je ne dois même pas le mentionner?

La fermer? Complètement? OK

Bye

J-D