[résolu]Analyse du log HijackThis

[Thanos]

salut ixtl

 

je ne vois rien de mauvais dans ton log(à confirmer):

 

est ce que tu connais ceci?=>

 

O2 - BHO: (no name) - {9DD12386-0FC7-5396-D169-1A5228CEE633} - C:\DOCUME~1\BRIGITTE\APPLIC~1\SAVEBL~1\Mathcreative.exe

 

Voici 2 autres lignes que tu peux cocher:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

=>si tu ne fais pas d'overclocking de ta carte graphique, c'est inutile.

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

dis moi tu utilises le firewall du sp2? je n'en vois pas dans ton log..

[BipBip07]

salut ixtl

 

je ne vois rien de mauvais dans ton log(à confirmer):

 

est ce que tu connais ceci?=>

 

O2 - BHO: (no name) - {9DD12386-0FC7-5396-D169-1A5228CEE633} - C:\DOCUME~1\BRIGITTE\APPLIC~1\SAVEBL~1\Mathcreative.exe

Bonjour,

A fixer infection par lop.

ciao

[Thanos]

salut bipbip

 

merci pour ton intervention, je n'avais rien trouvé là dessus! (rien dans les bases de

 

données consultées) doit on supprimer l'application?

[BipBip07]

De rien, et oui pour ta question. Il faudra aussi aprés l'avoir fixé refaire un rapport HJT dans 2,3 jour afin de s'assurer qu'une ligne 02 ou 04 similaire ne osit pas réapparue...voir faire une scan en ligne chez panda et coller ici le rapport.

A+

[Thanos]

donc selon la formule consacrée , ixtl ,

 

*Affiche tous les fichiers et dossiers :

 

cliquer sur démarrer/panneau de configuration/option des dossiers/affichage

 

Cocher afficher les dossiers cacher.

 

puis tu vas dans=>

 

C:\Documents and Settings\BRIGITTE\Application Data\SAVEBL~1=>tu vires le

 

dossier. Jette aussi un oeil dans Ajout/Suppression de Programme et désinstalle le

 

le cas échéant.

 

 

ensuite tu télécharge et lance l' Uninstall lop.com

 

http://lop.com/toolbar_uninstall.exe

ou

http://lop.com/new_uninstall.exe

 

Il est possible que ton antivirus se déclenche(fais le taire!) . Récupère le dossier compressé.

 

Poste un nouveau rapport Hijackthis

Modifié le 25 juillet 2005 par charles ingals

[Noisette]

Rebonjour Sacles, rebonjour à tous,

 

Quelques recherches sur le Web...

 

(source : http://castlecops.com/lsp-9.html )

 

[der_Tobi lance une discussion sur le forum AntiVir (29.03.2005 15:26 http://www.free-av.de/cgi-bin/ubb/ultimate...c&f=35&t=000001 ) où des membres très qualifiés lui répondent (mon Allemand n'est plus assez bon et il me faudrait y passer plus de temps)

Réponse de Merijn (02.04.2005 13:57) :

 

Ainsi donc, tu as la réponse et les explications par Merijn : il y a bien un bug qu'il connaît depuis longtemps et qu'il a oublié de corriger, ce sera fait dans la version 1.99.2 (bizarre qu'il communiquent en Anglais alors que Merijn a sans doute, un excellent Allemand vu qu'il fait ses études à Hambourg LOL)

 

Ce que j'aimerais savoir est si tous les utilisateurs d'AntiVir n'ont pas cette ligne, dans quelle condition est-elle affichée ?

Quelqu'un a-t-il des infos à ce sujet (peut-être la réponse se trouve-t-elle dans les 2 discussions ci-dessus que j'ai lues trop hâtivement : hijackthis.de et antivir) ?

 

En tous cas, merci à Sacles d'avoir parlé de ce bug que je ne connaissais pas et qui m'intéresse beaucoup !

540570[/snapback]

 

Bonjour Ipl, Sacles, bonjour à tous,

 

Comme mes connaissances en allemand sont supérieures à ce que je sais d'informatique (du moins actuellement ), je suis allée me faire une grosse tête en lisant les 2 discussions à fond ... Ipl, je crois que tu devrais les relire quand tu auras le temps, pour te faire une meilleure idée que moi de toutes leurs recherches ... quelques membres Allemands semblent incriminer le fichier Host téléchargé avec Antivir et qui crée un doublon dans le fichier Host local (127.0.0.1. localhost est ajouté même si déjà présent), la suppression du doublon entraînant la disparition de la ligne 010 en question ... mais pas chez tout le monde, puisque Peter17 signale sa présence dans son log avant même d'avoir installé le LSP et fait tourner le Mailguard ! Ils ont creusé profond mais sans trouver de solution définitive (voir à ce sujet le résumé de la situation donné par l'animateur Thomas Salomon).

Et si Merijn leur a répondu en anglais ... c'est parce que le malheureux Der_Tobi a sué pendant trois quarts d'heure pour lui poser la question ... en anglais !!

C'est tout ce que je peux dire, si cela peut être utile ...

 

Bon lundi à tous

[Sacles]

Re,

 

quelques membres Allemands semblent incriminer le fichier Host téléchargé avec Antivir et qui crée un doublon dans le fichier Host local (127.0.0.1. localhost est ajouté même si déjà présent)

 

Un fichier hosts avec AntiVir! C'est nouveau cela.

 

Je viens de vérifier le mien (créé par SpyBlocker qui est exclusif et ne supporte que le sien - il en génère un nouveau à chaque lancement apparemment): je n'ai pas de doublon 127.0.0.1 localhost.

 

Cordialement.

[ixtl]

salut ixtl

 

je ne vois rien de mauvais dans ton log(à confirmer):

 

est ce que tu connais ceci?=>

 

O2 - BHO: (no name) - {9DD12386-0FC7-5396-D169-1A5228CEE633} - C:\DOCUME~1\BRIGITTE\APPLIC~1\SAVEBL~1\Mathcreative.exe

 

Voici 2 autres lignes que tu peux cocher:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

=>si tu ne fais pas d'overclocking de ta carte graphique, c'est inutile.

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

dis moi tu utilises le firewall du sp2?  je n'en vois pas dans ton log..

540950[/snapback]

 

Merci pour les infos,

j'ai le pare feu xpsp2 activé

j'ai refait un log que voilà

 

Logfile of HijackThis v1.99.1

Scan saved at 17:08:15, on 25/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Mixer.exe

G:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\AVPersonal\AVSched32.EXE

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\ScanPanel\ScnPanel.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\Fichiers programmes\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll

O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [mmtask] g:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0CE508-124D-4D45-AD34-0C97EE78261B}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS2\Services\Tcpip\..\{23CF479B-FD73-429E-9B0A-9234561EB7CB}: NameServer = 80.10.246.1 80.10.246.132

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[Sacles]

Re,

 

j'ai le pare feu xpsp2 activé

 

Quand tu auras résolu tes problèmes, tu devrais installer un vrai pare-feu (celui de XP est un demi-pare-feu puisqu'il n'est pas conçu pour contôler les flux qui sortent de ton ordinateur).

 

Cordialement.

[ixtl]

Re,

Quand tu auras résolu tes problèmes, tu devrais installer un vrai pare-feu (celui de XP est un demi-pare-feu puisqu'il n'est pas conçu pour contôler les flux qui sortent de ton ordinateur).

 

Cordialement.

541072[/snapback]

 

J'avais Norton Internet security avec antivirus et pare feu et protection des mails.

Suite à une réinstallation on ma mis Antivir et le pare feu xp

Etait ce une erreur?

Ca ramait un max quand norton se mettait à acanner