Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Nahvala

interpretation de rapport HijackThis

Messages recommandés

bonjour, je viens de faire un HijackThis mais je ne sais pas interpreter...

 

voila ce que ca donne :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:17:22, on 27/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\RunServices: [system Updates Service] updates.pif

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127755589863

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe (file missing)

O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe

O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe

 

 

encore quelque petites questions :

 

comment on fait pour mettre le firewall de XP ou bien dois je en installer un autre ? si oui, lequel et comment ca marche ?

 

maintenant que j'ai desinstallé antivir, je ne peux plus le reinstaller saus si je suis un administrateur, non ?

 

voila, je pense qu'il y a plein de boulot a faire sur mon ordi pour la securité, alors, je vous remercie d'avance pour votre aide !!!

 

merci

Nahvala

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Nahvala, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je ne peux pas analyser ton rapport HijackThis, par manque de disponibilités, mais je réponds à ta question...

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

comment on fait pour mettre le firewall de XP
Tu as une version antique d'XP (et beaucoup de failles de sécurité).

Le firewal d'XP est arrivé avec la version SP1 (mais pas éctivé en standard) et bien sûr, avec SP2 !

Oui, tu peux installer un pare-feu gratuit tel que Zone Alarm !

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour IPL :P . En attendant que j'analyse ce rapport, Nahvala devrait faire les mises à jour d'XP et d'Internet Explorer.

 

Ces lignes ne me plaîsent pas mais, c'est des 023 (as-tu un avis IPL :P )

 

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe (file missing)

 

O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe

 

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

Redémarre l'ordinateur en mode sans échec (touche F8 ou F5).

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunServices: [system Updates Service] updates.pif

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127755589863

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab /b]

 

 

Ferme tous les programmes en cours et toutes les fenêtres sauf celle d'HijackThis et "Fix Checked"

 

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc..

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- nettoyage de la base de registres par EasyCleaner-Registre (important, ne pas utiliser la fonction doublon)

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

568381[/snapback]

 

 

edit: ne touche pas aux lignes 023 pour le moment

Modifié par megataupe

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour a tous, re bonjour megataupe :P

 

Ces lignes ne me plaîsent pas mais, c'est des 023 (as-tu un avis IPL icon_confused.gif )

 

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe (file missing)

 

O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe

 

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe

 

Tu as bien raison de les suspecter megataupe ce sont des services nocifs que l on doit supprimer :

-javapanel.exe

-microsoft.exe

-spoollv.exe<--- rien trouvé dessus mais il est tres suspect également.

 

on peut meme éradiquer cette ligne :

C:\WINDOWS\windowsupdates.exe <--- pas légitime du tout (voir ici) il faut supprimer

Pour les éradiquer :

 

1/ démarre en mode sans échec

 

2/ Dans le menu Demarrer>Executer >tape: Services.msc

 

Recherche les services avec cette orthographe exacte:

-Windows Updates <- rien à voir avec le vrai

-sdktemp

-spool avec spoollv.exe comme processus associé

-ECA (cpanel)

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

3/ lance un scan hijackthis et coche ces lignes si présentes.

 

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe (file missing)

O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe

O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe

 

Fixe ces lignes

 

 

4/ Recherche et supprime les fichiers incriminés par l explorateur windows si présent :

-C:\WINDOWS\javapanel.exe

-C:\WINDOWS\microsoft.exe

-C:\WINDOWS\spoollv.exe

-C:\WINDOWS\windowsupdates.exe

 

5/ Nettoyage des fichiers inutiles et registre avec easycleaner. Ne pas utiliser la fonction doublons

 

6/ redémarre en mode normal et poste un nouveau rapport a titre de vérification

Modifié par Jack_Burton

Partager ce message


Lien à poster
Partager sur d’autres sites

merci de votre aide

 

les trois lignes dont parle megataupe sont celles qui me sortent a chaque fois quand je lance un antivirus. seulement, j'ai beau les effacer (en mode sans echec) elle reviennent ! y faut que je les vire avec Hijackthis ?

 

je croyais avoir deja installé les updates de windows XP ! je n'utilise pas IE mais mozilla donc je ne m'en suis pas occupé, mais je vais maintenant le faire quand meme !

 

dans deux secondes je vous envoie le nouveau rapport Hijackthis...

Partager ce message


Lien à poster
Partager sur d’autres sites

Ben oui :P , c'est pas la bonne et donc tu n'auras accés qu'aux mises à jour de sécurité sur Windows Update. Une idée de cadeau pour Noël, un beau CD d'XP très officiel :P .

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×