Aller au contenu
Zebulon
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

essai d'analyse du rapport Hijackthis


remed

Messages recommandés

bonjour

j'ai fait un rapport Hijackthis, et avant de vous le soumettre, j'ai essayé de l'analyser moi-même.

avant de supprimer quoi que ce soit, je préfère que vous vérifiez :

J'ai windows XP SP2

Logfile of HijackThis v1.99.1

Scan saved at 10:33:51, on 06/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Raxco\PerfectDisk\PDSched.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Foxmail\Foxmail.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

C:\WINDOWS\system32\LVComS.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R3 - URLSearchHook: (no name) - - (no file)[je supprimerais bien cette ligne]

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [Foxmail] "C:\Program Files\Foxmail\Foxmail.exe" -min

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\digital imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL[pareil, ligne bizarre ?]

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1136626310343

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C8BF7AC-F5F5-4E5F-A714-9563C492781C}: NameServer = 212.151.136.246 [ok c'est tele2]212.151.137.166[je ne trouve pas ce nombre dans assiste.com : à corriger ?]

O17 - HKLM\System\CS1\Services\Tcpip\..\{1C8BF7AC-F5F5-4E5F-A714-9563C492781C}: NameServer = 212.151.136.246 212.151.137.166

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (file missing)

 

voilà, si vous avez le temps, histoire que j'apprenne à nettoyer ça tout seul !

merci

Lien vers le commentaire
Partager sur d’autres sites

salut remed

 

Pour vraiment comprendre et apprendre à analyser un rapport je te conseille de lire cet article d'ipl_001 =>

http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php

R3 - URLSearchHook: (no name) - - (no file)[je supprimerais bien cette ligne]

Exact tu peux fixer!

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL[pareil, ligne bizarre ?]

C'est un bouton additionnel de la barre d'outils d'IE , c'est légitime et lié à Microsoft Office.Si tu n'utilise pas IE tu peux les fixer (lignes 09)

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C8BF7AC-F5F5-4E5F-A714-9563C492781C}: NameServer = 212.151.136.246 [ok c'est tele2]212.151.137.166[je ne trouve pas ce nombre dans assiste.com : à corriger ?]

Pas d'inquiêtude! cette adresse :212.151.137.166 fais bien partie de la plage d'adresses atribuées à Télé2:

inetnum: 212.151.128.0 - 212.151.171.255

netname: EU-TELE2

descr: Pan-european network

 

Par contre ceci est un reste de Norton :

 

O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (file missing)

 

-vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant:SymWMI Service (SymWSC)

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

Quitte les services.

Passe par hijackthis :" Misc Tools Section"=> "Delete an NT service" et tu rentre le nom du service dans la case: SymWSC et tu cliques sur "ok". Refais un scan hijack pour voir si ca a fonctionné.

 

N'hésite pas à lire l'article d'ipl, tu apprendras plein de choses :P

Lien vers le commentaire
Partager sur d’autres sites

salut remed

 

Pour vraiment comprendre et apprendre à analyser un rapport je te conseille de lire cet article d'ipl_001 =>

http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php

 

Exact tu peux fixer!

 

C'est un bouton additionnel de la barre d'outils d'IE , c'est légitime et lié à Microsoft Office.Si tu n'utilise pas IE tu peux les fixer (lignes 09)

 

Pas d'inquiêtude! cette adresse :212.151.137.166 fais bien partie de la plage d'adresses atribuées à Télé2:

Par contre ceci est un reste de Norton :

 

O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (file missing)

 

-vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant:SymWMI Service (SymWSC)

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

Quitte les services.

Passe par hijackthis :" Misc Tools Section"=> "Delete an NT service" et tu rentre le nom du service dans la case: SymWSC et tu cliques sur "ok". Refais un scan hijack pour voir si ca a fonctionné.

 

merci, en fait, dans "services", en double cliquant sur le service SymWMI, la case "arrêter" est grisée,( comme si le service était déjà arrêté) la case "démarrer le service" est actve, et si je clique dessus, j'ai ce message d'erreur suivant : "impossible de démarrer le service SymWMI sur l'ordinateur local, erreur 2 :le fichier spécifié est introuvable"

ensuite, par hijackthis,/Misc tools section/delete an NT service et après avoir rentré SymWSC et OK, j"ai ce message d'erreur : "the service SymWSC is enable and/or running.disable it first, using hijack itself (from the scan result) or the service MSC window "... le problème est : comment le désactiver puisque par le service msc window, ça ne fonctionne pas.

merci

 

N'hésite pas à lire l'article d'ipl, tu apprendras plein de choses :P

ok

 

oups, j'ai utiliser la fonction citation sans vraiment la maîtriser ! je refais un copier coller de ma réponse :

 

merci, en fait, dans "services", en double cliquant sur le service SymWMI, la case "arrêter" est grisée,( comme si le service était déjà arrêté) la case "démarrer le service" est actve, et si je clique dessus, j'ai ce message d'erreur suivant : "impossible de démarrer le service SymWMI sur l'ordinateur local, erreur 2 :le fichier spécifié est introuvable"

ensuite, par hijackthis,/Misc tools section/delete an NT service et après avoir rentré SymWSC et OK, j"ai ce message d'erreur : "the service SymWSC is enable and/or running.disable it first, using hijack itself (from the scan result) or the service MSC window "... le problème est : comment le désactiver puisque par le service msc window, ça ne fonctionne pas.

merci

Lien vers le commentaire
Partager sur d’autres sites

pour effacer ce service désormais inactif, tente ceci:

 

Dans la case "Type de démarrage" tu dois le mettre sur désactivé.

 

-vas dans le menu démarrer /executer et tu tapes : cmd

 

dans l'invite de commande qui s'ouvre, tu tapes :

sc delete SymWSC

 

Un message t'avertis du succès de l'opération.

 

Dis moi si ca marche :P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...