Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

kuma_buzz

Interprétation Hijackthis

Messages recommandés

Bonjour,

 

J'ai pas mal de programmes dans mon gestionnaire de taches dont je ne connais pas l'utilité . Je suppose que certains d'entre eux sont indésirables mais je suis incappable de faire le tri ; voici le rapport Hijackthis que j'ai obtenu, en espérant que quelqu'un pourra m'aider :P :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:02:44, on 05/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\NTCommLib3.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NTCommLib3] C:\WINDOWS\System32\NTCommLib3.exe

O4 - HKLM\..\Run: [dmpqt.exe] C:\WINDOWS\System32\dmpqt.exe

O4 - HKLM\..\RunOnce: [installShieldSetup] C:\PROGRA~1\INSTAL~1\{08470~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{08470~1\reboot.ini -l0x9

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{002A489E-52D8-422B-8E8E-1E49C92A5AB2}: NameServer = 85.255.113.146,85.255.112.23

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDE9001-CDF8-4B11-AADA-8163B90BBA57}: NameServer = 85.255.113.146,85.255.112.23

O17 - HKLM\System\CCS\Services\Tcpip\..\{AEAFE29A-A4AD-4D62-92BC-055B7A95D8A3}: NameServer = 85.255.113.146,85.255.112.23

O17 - HKLM\System\CS1\Services\Tcpip\..\{002A489E-52D8-422B-8E8E-1E49C92A5AB2}: NameServer = 85.255.113.146,85.255.112.23

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: iexplore - C:\WINDOWS\SYSTEM32\mlY4a.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir kuma_buzz, bonsoir à tous,

 

Messages : 1
Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! :P

 

S'il te plaît, applique la procédure "Pré-Nettoyage d'un PC infecté" -> http://forum.zebulon.fr/index.php?showtopic=69176

 

Lorsque tu auras posté le rapport HijackThis qui en résulte, nous l'analyserons et te dirons que faire !

 

Pendant ce temps, je commence à regarder certaines lignes !

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour la rapidité de la réponse :P

 

J'ai effectué un premier nettoyage en suivant les instructions du lien, et après avoir effacé 8 fichiers voici le second rapport Hijeckthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 22:07:57, on 05/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Logiciels\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{002A489E-52D8-422B-8E8E-1E49C92A5AB2}: NameServer = 85.255.113.146,85.255.112.23

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDE9001-CDF8-4B11-AADA-8163B90BBA57}: NameServer = 85.255.113.146,85.255.112.23

O17 - HKLM\System\CCS\Services\Tcpip\..\{AEAFE29A-A4AD-4D62-92BC-055B7A95D8A3}: NameServer = 85.255.113.146,85.255.112.23

O17 - HKLM\System\CS1\Services\Tcpip\..\{002A489E-52D8-422B-8E8E-1E49C92A5AB2}: NameServer = 85.255.113.146,85.255.112.23

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: iexplore - C:\WINDOWS\SYSTEM32\mlY4a.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Logiciels\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Logiciels\AVPersonal\AVWUPSRV.EXE

Partager ce message


Lien à poster
Partager sur d’autres sites

Attend l'avis d'IPL mais, tu as toujours ces lignes 017 qui renvoient sur un serveur Ukrainien :

 

Information related to '85.255.112.0 - 85.255.113.255'

 

inetnum: 85.255.112.0 - 85.255.113.255

netname: inhoster

descr: Inhoster hosting company

descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

 

edit : idem pour cette IP 195.95.218.172

Modifié par megataupe

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir kuma_buzz, megataupe, bonsoir à tous,

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

 

Petite remarque :

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
Ce n'est pas prudent de naviguer avec le compte Administrateur !

Partager ce message


Lien à poster
Partager sur d’autres sites

Rebonsoir kuma_buzz, megataupe, rebonsoir à tous,

 

Très bien pour la suppression de certains fichiers que j'avais repérés (est-ce AntiVir qui les a signalés ?)

 

N'avais-tu pas d'AntiVirus (avant AntiVir) ? pas de firewal ???

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

 

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{002A489E-52D8-422B-8E8E-1E49C92A5AB2}: NameServer = 85.255.113.146,85.255.112.23

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDE9001-CDF8-4B11-AADA-8163B90BBA57}: NameServer = 85.255.113.146,85.255.112.23

O17 - HKLM\System\CCS\Services\Tcpip\..\{AEAFE29A-A4AD-4D62-92BC-055B7A95D8A3}: NameServer = 85.255.113.146,85.255.112.23

O17 - HKLM\System\CS1\Services\Tcpip\..\{002A489E-52D8-422B-8E8E-1E49C92A5AB2}: NameServer = 85.255.113.146,85.255.112.23

 

O20 - Winlogon Notify: iexplore - C:\WINDOWS\SYSTEM32\mlY4a.dll

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- Supprime le fichier incriminé (s'il existe encore) par l'Explorateur Windows :

--- C:\WINDOWS\SYSTEM32\mlY4a.dll

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Qu'en est-il de dysfonctionnements éventuels ?

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

Partager ce message


Lien à poster
Partager sur d’autres sites

Voici le rapport suivant :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:56:43, on 05/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\ATKKBService.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

 

 

 

Je n'ai eu aucun disfonctionnement, j'ai juste posté ici car j'avais certains éléments du gestionnaires de tache qui me paraissaient bizzares.

 

 

Merci beaucoup pour la clarté des explications .

Modifié par kuma_buzz

Partager ce message


Lien à poster
Partager sur d’autres sites

Rebonsoir kuma_buzz, rebonsoir à tous,

 

Il n'y a plus aucune ligne infectieuse dans ton rapport HijackThis !

 

Ton log est bien maigre maintenant et j'espère que tu as pu gagner un peu de vitesse ! :P

 

Mon examen du rapport a été effectué dans une optique anti-malware mais il y a de nombreuses lignes qui pourrait encore être enlevées, ceci dans une optique d'optimisation (la presque totalité des lignes O4 est inutile).

Partager ce message


Lien à poster
Partager sur d’autres sites

Si une optimisation est possible je ne vais pas m'en priver :P

 

J'élimine donc toutes les lignes 04 mis à part Soundman qui me parais etre le programme qui gere ma carte son.

 

 

Ce forum est vraiment au top, merci beaucoup pour votre aide :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Puisque je suis là je vais en profiter pour poser quelques questions supplémentaires :P en m'excusant par avance si ces questions paraissent surprenantes, je suis vraiment un newbie en ce qui concnerne la sécurité :

 

- Pourquoi ne dois je pas naviguer avec ma session administrateur ? Dois je en créer une autre avec des droits limités pour naviguer ?

 

- Pour répondre à l'une des questions de ton post IPL001 : non je n'ai ni antivirus, ni firewall (hormis celui de ma livebox) .

J'utilise mon pc quasi uniquement pour jouer sur internet et il m'a semblé constater que les antivirus / firewall prennaient pas mal de ressources, alors que je n'ai qu'assez rarement des problèmes de ralentissement pour cause de virus .

 

Le firewall de la livebox est il aussi efficace qu'un firewall logiciel ? A t'il une incidence sur le fonctionnement des trojans ?

 

Le fait de n'avoir aucune autre protection sur mon PC m'expose à quoi (je parle au niveau ralentissements / problèemes matériels) ?

 

 

J'ai conscience que ces questions vont faire dresser les cheveux sur la tête de plusieurs d'entre vous, mais je n'aime pas installer de logiciels sur mon pc à moins d'ête certain de leur necessité.

 

 

Merci d'avance :P

Modifié par kuma_buzz

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×