[ résolu ] Log Hijackthis

[Nerzhuul]

Bonjour à tous,

 

je suis tout nouveau sur le forum que j'ai découvert en faisant des recherches sur g**gle.

 

J'ai lu quelques posts du forum et j'ai donc compris qu'il fallait vous poster le log hijackthis qui à priori aide grandement pour dépatouiller notre odrinateur.

 

Aussi, vous trouverez ci-dessous mon log où j'espère une aide à décripter tout ça afin de comprendre et pouvoir aider par la suite.

 

Merci encore pour vos futures réponses et à bientôt.

 

Logfile of HijackThis v1.99.1

Scan saved at 10:28:34, on 24/05/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\WINNT\System32\svchost.exe

C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

C:\WINNT\system32\hidserv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Media Access\MediaAccK.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\Media Access\MediaAccess.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINNT\system32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=10.10.10.3:4421;http=10.10.10.3:4480;https=10.10.10.3:4480;socks=10.10.10.3:1080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: www.lexel-cosmetiques.com intracos

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - blank (file missing)

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - blank (file missing)

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C...e/bridge-c8.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1276113f3b2f05331406/...RdxIE601_fr.cab

O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/fr/wowbeta/Si.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/hardwaredetection.cab

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/e5fdab...1/Installer.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{2304CC4B-B5C0-41DD-B1F8-243E03D5DF15}: NameServer = 194.2.0.20,194.2.0.50

O17 - HKLM\System\CS1\Services\Tcpip\..\{2304CC4B-B5C0-41DD-B1F8-243E03D5DF15}: NameServer = 194.2.0.20,194.2.0.50

O17 - HKLM\System\CS2\Services\Tcpip\..\{2304CC4B-B5C0-41DD-B1F8-243E03D5DF15}: NameServer = 194.2.0.20,194.2.0.50

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MonitorMagic (1279,48155) (MonitorMagic) - Unknown owner - C:\Program Files\MonitorMagicService\NM.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Modifié le 24 mai 2005 par Nerzhuul

[ipl_001]

Bonjour Nerzhuul, megataupe, bonjour à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Je te donnerai ensuite quelques liens et explications !

[Nerzhuul]

Bonjour Nerzhuul, megataupe, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Je te donnerai ensuite quelques liens et explications !

507611[/snapback]

 

Merci beaucoup, je passerais voir cela tout à l'heure

[megataupe]

Pour IPL, C'est quoi cette ligne dans le hosts ? :

 

O1 - Hosts: www.lexel-cosmetiques.com intracos

[ipl_001]

Rebonjour Nerzhuul, megataupe, rebonjour à tous,

 

Je me méfie car ça a l'air d'être un ordinateur professionnel (modules inhabituels installés)

Suis-je dans la lune ou n'as-tu pas de pare-feu ?

 

Stoppe les processus suivants dans le Gestionnaire des tâches :

- C:\Program Files\Media Access\MediaAccK.exe

-> Media Access X MediaAccK.exe Windupdates MEDIAPAS.A adware ( http://castlecops.com/startuplist-7241.html )

-> http://www.trendmicro.com/vinfo/grayware/v...=ADW_MEDIAPAS.A

- C:\Program Files\Media Access\MediaAccess.exe

mediaaccess - mediaaccess.exe - Process Information

 

Process File: mediaaccess or mediaaccess.exe

Process Name: Windupdate Media Access Adware

 

Description:

mediaaccess.exe is an advertising program by Windupdate. This process monitors your browsing habits and distributes the data back to the author's servers for analysis. This also prompts advertising popups. This program is a registered security risk and should be removed immediately. Please see additional details regarding this process

For More Information About mediaaccess.exe - Get WinTasks 5 Pro Now!

 

Author: Windupdate

Part Of: Windupdate Media Access Adware

 

System Process: No

Background Process: Yes

Uses Network: Yes

Hardware Related: No

Common Errors: N/A

Memory Usage: N/A ( Free Up Memory )

 

Security Risk (0-5): 2

Spyware: Yes ( Remove )

Adware: Yes ( Remove )

Virus: No ( Remove )

Trojan: No ( Remove )

(source : http://www.liutilities.com/products/wintas...ry/mediaaccess/ )

Ne sois pas trop impressionné par cette immense zone rouge... je liste mes justificatifs et il se trouve que là, j'ai un long texte !

 

Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes :

- 180Solutions

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

Relance un scan HijackThis et coche les lignes en gras ci-dessous :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=10.10.10.3:4421;http=10.10.10.3:4480;https=10.10.10.3:4480;socks=10.10.10.3:1080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: www.lexel-cosmetiques.com intracos <- je ne sais pas trop que faire avec cette ligne : s'agit-il bien de ta société ou d'une URL à laquelle tu te connectes souvent ?

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - blank (file missing)

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll

-> {00320615-B6C2-40A6-8F99-F1C52D674FAD} X BHO localNRD.dll Transponder parasite variant ( http://castlecops.com/clsid-1257.html )

-> http://www.doxdesk.com/parasite/Transponder.html

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - blank (file missing)

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

-> salm X salm.exe 180Solutions/N-Case adware variant ( http://castlecops.com/startuplist-6245.html )

-> http://www.doxdesk.com/parasite/nCase.html

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C...e/bridge-c8.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1276113f3b2f05331406/...RdxIE601_fr.cab

O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/fr/wowbeta/Si.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/hardwaredetection.cab

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/e5fdab...1/Installer.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{2304CC4B-B5C0-41DD-B1F8-243E03D5DF15}: NameServer = 194.2.0.20,194.2.0.50

O17 - HKLM\System\CS1\Services\Tcpip\..\{2304CC4B-B5C0-41DD-B1F8-243E03D5DF15}: NameServer = 194.2.0.20,194.2.0.50

O17 - HKLM\System\CS2\Services\Tcpip\..\{2304CC4B-B5C0-41DD-B1F8-243E03D5DF15}: NameServer = 194.2.0.20,194.2.0.50

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MonitorMagic (1279,48155) (MonitorMagic) - Unknown owner - C:\Program Files\MonitorMagicService\NM.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

Redémarre l'ordinateur en mode sans échec.

- suppression des fichiers inutiles par

Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp

- Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

- C:\WINNT\localNRD.dll

- c:\temp\salm.exe

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

[ipl_001]

Rebonjour Nerzhuul, megataupe, rebonjour à tous,

 

Quelques liens pour apprendre à dépouiller les logs HijackThis..

 

- Sommaire :

 

-> http://gerard.melone.free.fr/IT/IT-HJT0.html#HJT

 

-> http://www.zebulon.fr/articles/HijackThis.php

 

- Explications plus détaillées :

 

-> http://gerard.melone.free.fr/IT/IT-HJT3-Tr.html#HJT3-Tr

 

-> http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php

 

A ta disposition pour des détails supplémentaires !

[Nerzhuul]

Rebonjour Nerzhuul, megataupe, rebonjour à tous,

 

Quelques liens pour apprendre à dépouiller les logs HijackThis..

 

- Sommaire :

 

-> http://gerard.melone.free.fr/IT/IT-HJT0.html#HJT

 

-> http://www.zebulon.fr/articles/HijackThis.php

 

- Explications plus détaillées :

 

-> http://gerard.melone.free.fr/IT/IT-HJT3-Tr.html#HJT3-Tr

 

-> http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php

 

A ta disposition pour des détails supplémentaires !

507628[/snapback]

 

 

Merci pour ces liens, sinon voici le compte rendu des modifications que tu m'as demandé de faire :

 

le process Mediaaccess.exe et MediaAcck.exe n'était pas stoppable je n'ai pas pu faire cela, par contre j'avais à priori de quoi désinstaller ce truc dans le gestionnaire des logiciels installés je l'ai donc fait et cela semble OK.

 

Sinon pour 180xxx j'ai désinstaller 180searchassistant

 

J'ai supprimer les lignes en gras dans Hijackthis

 

fait le cleanmgr sans souci

 

supprimer les fichiers dans temp, localnrd, salm.exe n'y était pas mais j'ai supprimer tout ce qui avait salmxxx qu'il y avait dans ce répertoire.

 

j'ai lancé EasyCleaner et dans les fichiers inutiles 4 fichiers n'étaient pas "supprimable"

C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat

C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat

 

j'ai néttoyer la base de registre avec EasyCleaner sans souci

 

et voilà le nouveau log HiJackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 15:54:03, on 24/05/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\WINNT\System32\svchost.exe

C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

C:\WINNT\system32\hidserv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINNT\system32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=10.10.10.3:4421;http=10.10.10.3:4480;https=10.10.10.3:4480;socks=10.10.10.3:1080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: www.lexel-cosmetiques.com intracos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/fr/wowbeta/Si.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/hardwaredetection.cab

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{2304CC4B-B5C0-41DD-B1F8-243E03D5DF15}: NameServer = 194.2.0.20,194.2.0.50

O17 - HKLM\System\CS1\Services\Tcpip\..\{2304CC4B-B5C0-41DD-B1F8-243E03D5DF15}: NameServer = 194.2.0.20,194.2.0.50

O17 - HKLM\System\CS2\Services\Tcpip\..\{2304CC4B-B5C0-41DD-B1F8-243E03D5DF15}: NameServer = 194.2.0.20,194.2.0.50

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MonitorMagic (1279,48155) (MonitorMagic) - Unknown owner - C:\Program Files\MonitorMagicService\NM.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

Merci encore pour ton aide et surtout les liens qui vont me permettre de comprendre un peu plus tout ça.

Sinon, le lien internet en question est le site de la société de ma copine qu'elle utilise tout les jours pour son travail apparement.

 

A te lire.

[ipl_001]

Rebonjour Nerzhuul, megataupe, rebonjour à tous,

 

Tes lignes et tes mots me laissent penser que tu es de bon niveau informatique et je me réjouirais que tu aides sur le forum !

 

Tout s'est bien passé pour le nettoyage... juste une petite ligne inutile :

 

Relance un scan HijackThis et coche la ligne ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

Si tu as besoin d'éclaicissements pour comprendre l'analyse des logs HJT, je te répondrai avec plaisir !

[Nerzhuul]

Rebonjour Nerzhuul, megataupe, rebonjour à tous,

 

Tes lignes et tes mots me laissent penser que tu es de bon niveau informatique et je me réjouirais que tu aides sur le forum !

 

Tout s'est bien passé pour le nettoyage... juste une petite ligne inutile :

 

Relance un scan HijackThis et coche la ligne ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

Si tu as besoin d'éclaicissements pour comprendre l'analyse des logs HJT, je te répondrai avec plaisir !

507792[/snapback]

 

Merci à toi tu veux dire pour le temps que tu as pris à me répondre !

 

Sinon je trifouille un peu depuis quelques années maintenant mais je voyais partout des logs HiJackThis et je voulais en savoir un peu plus en utilisant le pc de ma copine dont je m'occupe ... heu ... jamais ? (oui les coups de poëles ça fait mal )

 

En ce qui concerne l'aide sur le forum, je vais d'abord m'améliorer afin de faire des réponses se rapprochant de ton niveau et ensuite je franchierais le pas très certainement car j'ai vraiment apprécier l'esprit de ce forum dans tous les posts que j'ai pu lire. Ce ne veut pas dire que je ne répondrais pas avant si je peux apporter une lumière ^^

 

Merci encore et à très bientôt !

[ipl_001]

Rebonsoir Nerzhuul, rebonsoir à tous,

 

Merci pour tes mots sympas !

 

Il est de plus en plus important de lutter contre les malwares si on veut sauver l'Internet et les satisfactions qu'il devrait apporter à tous !

 

sinon...

 

- virus

- vers

- chevaux de Troie

- spywares/adwares

- spam

- phishing

- menaces infantiles

- etc.

 

Il faut contrer ces plaies !

 

Si tu veux bien te former et si tu parles Américain, un bon stage là-bas est la solution !

Les meilleurs experts du monde sont en ce moment, sur SpyWareInfo ! J'y retournerai d'ici un mois pour une piqure de rappel !