HijackThis

[histologie]

Bonjour,

 

Après un nettoyage avec Spybot, puis Ad-aware, un message indiquant "p2esocks_1017.dll introuvable" est apparu à chaque démarrage de mon ordinateur. J'ai lu quelques une de vos conseils : je suis ainsi allé à Démarrer-exécuter-msconfig-démarrage, et j'ai décoché rundll.exep2esocks_1017.dll.

 

J'ai voulu alors utiliser HijackThis, et voici le log obtenu. Quelqu'un peut-il m'aider dans l'interprétation, bien que votre tutoriel d'interprétation des listes soit très bien fait. Mais un amateur, même avec de bonnes explications, reste un amateur!

 

Voici le log :

 

Logfile of HijackThis v1.99.0

Scan saved at 19:49:24, on 17/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\palmOne\HOTSYNC.EXE

C:\Mes téléchargements\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Messenger\msmsgs.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {41AB6150-E515-1EC9-8752-66557EA32F49} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\fr\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Huut] C:\Documents and Settings\Administrateur\Application Data\ctoo.exe

O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN

O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EC..._1017_FR_XP.cab

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab

O16 - DPF: {4D22FFDD-FD33-471A-AEBD-A781D4B225F6} - http://www.4hdv.com/install/AutoInstallMcPlayer.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9070EE70-D4E9-46BA-A760-C00AF6AAEFBB}: NameServer = 212.151.136.242 130.244.127.161

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll

O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

Merci pour toute aide, même minime.

[neos]

salut

demarre en mode sans echec

rescan avec tes deux logiciels et avec cwshredder que tu trouveras ICI

Puis fais un nettoyage de registre

et tiens nous au courant

mode sans echec = F8 au demarrage du pc

[BOXER]

Bonsoir,

 

 

Il y a sur ce site un document qui repertorie tous les codes de hijackthis

 

Il est très facile a utiliser.

 

Je viens de réussir la solution de problèmes d'attaques avec ces explications !

 

@+

[megataupe]

Bonsoir à tous. Il faut absolument éliminer ce fouteur de m........ mywebsearch avec CWshredder (bien vu Néos) ou, si ça ne marche pas, faire le travail à la main suivant les instructions de Pest Patrol données dans ce lien :

 

[url=http://pestpatrol.com/pestinfo/m/mywebsearch.asp]http://pestpatrol.com/pestinfo/

 

ps: Hijacthis doit impérativement être exécuté dans son propre dossier et non dans le dossier mes téléchargements comme vu sur ce log.

Modifié le 17 décembre 2004 par megataupe

[histologie]

salut

demarre en mode sans echec

rescan avec tes deux logiciels et avec  cwshredder que tu trouveras ICI

Puis fais un nettoyage de registre

et tiens nous au courant

mode sans echec = F8 au demarrage du pc

434795[/snapback]

 

Merci pour tous ces bons conseils : j'ai démarré en mode sans échec, scanné une première fois avec cwshredder, suivi de spysubtract (sur le même site, gratuit 30 jours), et enfin avec Spybot et ad-aware. Tout à l'air au mieux! Merci encore. Si j'ai l'occasion d'apporté quelques conseils

[neos]

salut

content de t'avoir aider

si un jour tu as le temps de lire voici l'article de zebulon

sur les malwares ICI

Je remercie au passage la qualité des articles sur ce site

@ bientot

[histologie]

salut

content de t'avoir aider

si un jour tu as le temps de lire voici l'article de zebulon

sur les malwares ICI

Je remercie au passage la qualité des articles sur ce site

@ bientot

434933[/snapback]

 

Bonjour,

J'ai lu l'article de zebulon.fr sur les malwares : est-ce que quelqu'un pourrait m'expliquer l'intérêt dans Windows des "Prefetch", surtout si on peut les effacer quasiment dans leur intégralité. Merci

[megataupe]

Bonjour. Voir ce post concernant le dossier Prefetch :

 

http://forum.zebulon.fr/lofiversion/index.php/t54794.html

[neos]

salut

Le système surveille les fichiers utilisés lorsque l'ordinateur démarre et lorsqu'une application est exécutée et stocke ces données dans le dossier Windows\Prefetch. Cette opération permet d'accélérer le temps de démarrage du système et des applications . Les informations recueillies sont également utilisées par le système lors de la défragmentation automatique partielle réalisée tous les trois jours.

Néanmoins, les informations stockées dans le dossier Windows\Prefetch occupent de l'espace sur le disque et nécessite la surveillance des applications en d'exécution. Cela peut avoir un très léger impact sur les performances de l'ordinateur. Si c'est le cas, utiliser l'une des solutions suivantes pour récupérer de l'espace libre sur le disque

Ouvrir l'Explorateur Windows et développer le dossier Windows\Prefetch

Sélectionner tous les fichiers SAUF le fichier Layout.ini (si ce fichier est supprimé par erreur, ce n'est pas dramatique car le système le recréera lors de la vérification suivante) et appuyer sur Suppr (Delete)

Lors de la prochaine défragmentation, le système repeuplera le dossier avec les derniers programmes les plus fréquemment utilisés.

Modifier le type de surveillance Prefetch

Dans l'Editeur de Registre, localiser la clé HKLM\system\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

Dans le volet droit, double-cliquer sur la valeur Dword EnablePrefetcher et modifier le champ de Données de la valeur en lui attribuant le chiffre 0 ou 1 ou 2 ou 3, sachant que:

0 : prefetch désactivé

1 : prefetch activé pour les applications

2 : prefetch activé pour le démarrage

3 : prefetch activé pour le démarrage et les applications (valeur par défaut)

Fermer l'Editeur du Registre et redémarrer l'ordinateur pour appliquer les modifications

voila

[histologie]

salut

Le système surveille les fichiers utilisés lorsque l'ordinateur démarre et lorsqu'une application est exécutée et stocke ces données dans le dossier Windows\Prefetch. Cette opération permet d'accélérer le temps de démarrage du système et des applications . Les informations recueillies sont également utilisées par le système lors de la défragmentation automatique partielle réalisée tous les trois jours.

Néanmoins, les informations stockées dans le dossier Windows\Prefetch occupent de l'espace sur le disque et nécessite la surveillance des applications en d'exécution. Cela peut avoir un très léger impact sur les performances de l'ordinateur. Si c'est le cas, utiliser l'une des solutions suivantes pour récupérer de l'espace libre sur le disque

Ouvrir l'Explorateur Windows et développer le dossier Windows\Prefetch

Sélectionner tous les fichiers SAUF le fichier Layout.ini (si ce fichier est supprimé par erreur, ce n'est pas dramatique car le système le recréera lors de la vérification suivante) et appuyer sur Suppr (Delete)

Lors de la prochaine défragmentation, le système repeuplera le dossier avec les derniers programmes les plus fréquemment utilisés.

Modifier le type de surveillance Prefetch

Dans l'Editeur de Registre, localiser la clé HKLM\system\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

Dans le volet droit, double-cliquer sur la valeur Dword  EnablePrefetcher et modifier le champ de Données de la valeur en lui attribuant le chiffre 0 ou 1 ou 2 ou 3, sachant que:

0 : prefetch désactivé

1 : prefetch activé pour les applications

2 : prefetch activé pour le démarrage

3 : prefetch activé pour le démarrage et les applications (valeur par défaut)

Fermer l'Editeur du Registre et redémarrer l'ordinateur pour appliquer les modifications

voila

435261[/snapback]

 

Merci pour toutes ces explications. Et cela devrait répondre à beaucoup de demandes des "amateurs"