Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Petites questions à propos de mon log Hijackthis

david.s

Par david.s
dans Analyses et éradication malwares

 Partager

Messages recommandés

david.s Junior Member

david.s

Posté(e)
Posté(e) (modifié)

Bonsoir tout le monde,

 

Voilà depuis quelques temps j'effectue des logs hijackthis régulièrement et j'essaye de les comprendre (je dis bien que j'essaye lol)...

 

Et généralement j'arrive à comprendre les lignes de mon log, enfin du moins en partie...

 

Alors je me suis dit que peut être vous pourriez m'aider à comprendre les lignes qui ne me disent rien...

 

Voici mon log avec en gras celles dont j'ignore l'utilité et en vert celles que je voudrais supprimer (elles concernent Windows Messenger que je n'utilise jamais car j'utilise MSN version 7) :

 

Logfile of HijackThis v1.99.1

Scan saved at 21:05:16, on 11/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\carpserv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Hijackthis\HijackThis.exe

C:\Program Files\Messenger\msmsgs.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ulg.ac.be/etudiants

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1110146059579

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

Voilà, ce post n'est pas urgent, donc occupez-vous plutôt des gens qui sont dans le besoin, mais pensez quand même à moi un de ces jours :P

 

Bonne soirée,

 

A+

Modifié par david.s

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e)

Je vais faire cour car je n'ai pas trop le temps. Techniquement tu pourrais fixer toutes les lignes de R0 a 016 (sauf 010 particulieres) sauf les lignes liées a la protection de ton PC (antivirus&firewall&programmes divers sécuritaire).

 

Mais il est préféreable de les désactiver par:

MSCONFIG

Ensuite tu vas enlever du démarrage automatique ces programmes qui ne servent a rien (tu pourra si tu le souhaites les remettre en faisant la manip inverse, tu aura un message a ton prochain démarrage coche la case pour ne plus être informé)

démarrer > exécuter > tape msconfig > onglet démarrage > décoche:

 

Sinon pour les lignesen gras noir:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

Tu peux fixer car ne renvoi vers aucune page internet.

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

Page de démarrage par défault lié a ceci:

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

en cas que:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ulg.ac.be/etudiants

ne soit pas "joignable"

 

Tu peux fixer ces 2 lignes si tu ne souhaite pas avoir google par default:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

surement lié a des restriction que tu a mis avec Spybot (cocher les cases de rstriction voir tutorial de spybot dans ma signature "consignes de sécurité")

A ne pas fixer

 

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

a fixer si tu le souhaite la 04 est décochable par MSCONFIG car msn se lance au démarrage ce qui est inutile...

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir david.s, bonsoir à tous,

---édition : bonsoir BipBip ! :P

Je suis largement en retard ! LOL j'ai discuté par téléphone presqu'une heure avec mon fils -en train de désinfecter le système d'un ami !- lorsque je rédigeais ceci !

 

Eh bien, je vais essayer, du moins partiellement !

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
Lorsque tu es dans Internet Explorer et que tu appelles Outils / Options, dans la zone "Page de démarrage", il y a 3 boutons : "Page actuelle" te met la page qu'affiche ton navigateur en page de démarrage (c'est le paramètre Start Page qui est sur une des lignes que tu as comprises), "Page par défaut" te met Google.com en Start Page (chez toi), "Page vierge", tu as compris...

Il y a donc une possibilité de page par défaut à laquelle tu peux facilement revenir et lorsqu'on installe un système ou un programme, les sociétés ont tôt fait de venir se placer en page par défaut (MicroSoft, le constructeur de l'ordinateur, le FAI, etc.) et même arfois en page de démarrage comme Wanadoo ou le programme About:Blaster qui force Google !

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
Je ne sais pas !
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
Ceci correspond à l'option Affichage / Barre d'outils / Liens... une barre que peu de personnes utilisent et qui est souvent résuite à une inscription "Liens" ; dommage que ce ne soit pas utilisé car c'était bien pratique ! De nos jours, il y a plein de barres d'outils externes (liens est une barre de liens prévue par Microsoft et paramétrable à ta guise !
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Ces 2 lignes sont mises par des utilitaires de protection de la base de registres tels que Spybot Search and Destroy ou du moins les modules annexes que sont Tea-Timer et SDHelper.
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Ces lignes correspondent bien sûr à Windows Messenger mais plus précisément, à des options proposées par les menus déroulants !

Un programme doit être désinstallé par Ajout-Suppression de programme, pas par HijackThis !

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
Cette ligne correspond aussi à la page par défaut pour Internet Explorer !
david.s Junior Member

david.s

Posté(e)
  • Auteur
Posté(e)

Bonjour Bibip et ipl,

 

Merci beaucoup pour toutes ces infos...

C'est vraiment gentil de votre part de prendre du temps pour quelqu'un qui n'est pas infecté...

 

Pour ce qui est de la désinstallation de Windows Messenger, je n'arrive pas à le trouver dans la liste de Ajout/Suppression de Programmes, c'est pour ça que le fait de l'enlever via Hijackthis m'intéressait...

 

Je vais donc fixer la ligne suivante : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

 

Et aussi effectuer quelques modifications dans MSConfig...

 

Merci pour tout une fois de plus !

 

Bonne soirée

 

A+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...