Demande d'analyse rapport Hijackthis

[masterjedi]

Bonsoir, suite à un post sur génération-nt on m'a invité à demander une analyse de mon rapport de Hijackthis

voici le post avec les symptomes et problemes :http://forum.generation-nt.com/index.php?showtopic=35664

 

et voici le rapport:

Logfile of HijackThis v1.99.1

Scan saved at 01:52:16, on 20/01/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\cleanmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\hjt\HijackThis.exe

C:\Windows\Temp\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe

O23 - Service: Service d'indexation (cisvc) - Unknown owner - C:\WINDOWS\System32\cisvc.exe

O23 - Service: Gestionnaire de l'Album (ClipSrv) - Unknown owner - C:\WINDOWS\system32\clipsrv.exe

 

 

merci à vous d'avance

[Thanos]

salut masterjedi et bienvenue sur le forum

 

Je vois que c'est angelique qui t'as fait faire la procédure

 

Ton rapport ne montre rien d'infectieux, veux tu faire un scan en ligne ici et poster le rapport, ca nous en dira plus=>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Il y a deux lignes que tu peux fixer:

 

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

-Ferme tous les programmes et clique sur "Fix Checked"

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\web\related.htm=> le fichier

 

-vide la corbeille.

 

Dis moi j'ai révé ou tu n'as ni antivirus, ni parefeu!!!! Reposte un rapport hijackthis en mode normal stp.

[masterjedi]

Bonsoir, tout d'abord merci, sinon effectivement hijackthis a tourné en mode sans echec, sinon pour ce qui est de l'AV et du parefeu en suivant la procédure j'ai désinstallé antivir et pour ce qui est du parefeu je n'en ai pas réinstallé suite au reformatage successifs(ça fait 2semaines que je reformate et réinstalle en essayant de trouver la cause et le premier pc est rendu à servir de "pctest" et le second windows ne démarre plus quelque soit le mode de démarrage, il tourne donc avec KNOPPIX pour l'instant.

je fais un scan en ligne et je refait tourné Hijackthis et je post tout ça

Merci

[masterjedi]

Voici le log de hijackthis en mode normal, petite précision des processus sont restés ouverts même après fermeture des logiciels, ça a planté à l'install de l'activeX et au final cela refuse de fonctionner par contre je l'ai fait ce week-end sur le pc de ma copine que j'ai hélas infecté également à cause de mon fichu dvd, sur le sien Panda n'avait rien trouvé mais les symptomes était bien là.

 

Logfile of HijackThis v1.99.1

Scan saved at 03:16:42, on 20/01/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Windows\Temp\MsnMsgr.Exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\defrag.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\hjt\HijackThis.exe

C:\Windows\Temp\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe

O23 - Service: Service d'indexation (cisvc) - Unknown owner - C:\WINDOWS\System32\cisvc.exe

O23 - Service: Gestionnaire de l'Album (ClipSrv) - Unknown owner - C:\WINDOWS\system32\clipsrv.exe

O23 - Service: Application système COM+ (COMSysApp) - Unknown owner - C:\WINDOWS\System32\dllhost.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\System32\msdtc.exe

O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\System32\msiexec.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Localisateur d'appels de procédure distante (RPC) (RpcLocator) - Unknown owner - C:\WINDOWS\System32\locator.exe

O23 - Service: QoS RSVP (RSVP) - Unknown owner - C:\WINDOWS\System32\rsvp.exe

O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\System32\dllhost.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Onduleur (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

 

 

 

 

 

 

 

 

Voici le log de hijackthis en mode normal, petite précision des processus sont restés ouverts même après fermeture des logiciels, ça a planté à l'install de l'activeX et au final cela refuse de fonctionner par contre je l'ai fait ce week-end sur le pc de ma copine que j'ai hélas infecté également à cause de mon fichu dvd, sur le sien Panda n'avait rien trouvé mais les symptomes était bien là.

 

oups pardon j'ai écrit trop vite, je parle de panda qui a planté à l'installation de l'activeX

[angelique]

'jour masterjedi

 

ton rapport ne montre rien d'infectieux,tu peux cependant fixer:

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

-Ferme tous les programmes et clique sur "Fix Checked"

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\web\related.htm=> le fichier

 

-vide la corbeille.

deja dit par charles(hello charles )

 

tu as bcp de services à tourner:

services

 

configures ton drwtsn32(dr watson):

 

http://www.zebulon.fr/astuces/tip176/Confi...-Dr-Watson.html

 

t'es pas obligé de le désactiver entierement,tu saute ça---->Enfin, pour complètement désactiver le Dr Watson lors d'un plantage, il faut se rendre dans la base de registres :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug et mettre la valeur de la chaîne Auto à 0.

 

Ton probleme n'est pas d'ordre infection alors

[masterjedi]

Bonjour, c'est vraiment bizarre comme réaction du dvd parce que ce n'est pas forcément les mêmes logiciels qui font planter la machine et pourtant rien d'infectieux n'est trouvé c'est comme si la seul utilisation des installs qu'il y a dessus change quelques chose au niveau des dll de windows et autre mais n'infecte pas plus le reste donc pas visible,

Mystère mystère!!

je teste de fixer les lignes et Si je trouve du nouveau je vous tiens au courant.

Merci a plus

[angelique]

tout ce que je peux te dire d'autre

 

executer

SFC /SCANNOW

 

avec ta galette d'xp ds ton lecteur,répare les fichiers protégés sytem!