[Résolu] Analyse log HijackThis

alain2 · le 12 avril 2006

Salut tornado et pitcat merci de me le préciser, en effet il est trés important de savoir que microsoft n'envoie jamais de mail :-(

Ok tornado j'ai fait la désinstallation via le panneau de configuration, ajouter/supprimer des programmes ... wanadoo messager et wanadoo étaient présents mais ce dernier sous la forme d'un dossier d'installation si bien que lorsque j'ai cliqué sur désinstaller une fenêtre m'a signifié une erreur comme quoi ce programme devait être déjà désinstallé...j'ai confirmé la désinstallation quand même ...quelques secondes aprés, scotty, le chien de garde de windows aboie (et la caravane passe ) dans Win Patrol, car il avait remarqué qu'un nouveau BHO avait été installé sur l'ordinateur :-P ... Autorisez-vous l'ajout ? Messager Wanadoo C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe .Comme le but est de désinstaller, j'ai refusé.

Un programme peut-il se réinstaller de lui-même

Devant ma grande perplexité, je refais un rapport d'HijakThis, le poste et te remercie de bien vouloir y accorder ton attention

Logfile of HijackThis v1.99.1

Scan saved at 22:53:37, on 12/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo I.E.

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{45C041A9-AAD3-4819-A063-F7C59275C8B8}: NameServer = 80.10.246.1 80.10.246.132

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

tornado · le 13 avril 2006

Salut alain2, pitcat (merci ),

Ok tornado j'ai fait la désinstallation via le panneau de configuration, ajouter/supprimer des programmes ... wanadoo messager et wanadoo étaient présents mais ce dernier sous la forme d'un dossier d'installation si bien que lorsque j'ai cliqué sur désinstaller une fenêtre m'a signifié une erreur comme quoi ce programme devait être déjà désinstallé...j'ai confirmé la désinstallation quand même ...quelques secondes aprés, scotty, le chien de garde de windows aboie (et la caravane passe icon_lol.gif ) dans Win Patrol, car il avait remarqué qu'un nouveau BHO avait été installé sur l'ordinateur icon_eek.gif ... Autorisez-vous l'ajout ? Messager Wanadoo C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe .Comme le but est de désinstaller, j'ai refusé.

Un programme peut-il se réinstaller de lui-même icon_confused.gif

Bizarre tout ça ... et si tu essayais en mode sans échec ?

On pourrait appliquer une méthode "bourrin" pour supprimer l'espace Wanadoo mais en attendant... reessaye, mais cette fois-ci en mode sans échec.

A+

alain2 · le 13 avril 2006

Salut tornado

Ok il n'y a plus rien qui porte le nom wanadoo de toutes façons dans le panneau de configuration > ajouter/supprimer des programmes... En fait je retrouve l'espace wanadoo uniquement (en tous cas pour le moment) dans démarrer > tous les programmes, mais à l'état désinstallé :-P

Aussi en cherchant dans spybot je me suis retrouvé dans le programme>outils>démarrage système et j'avais oublié qu'il y a quelques temps j'avais décoché certaines clés que spybot jugeait en meme temps qu' inutiles, louches

Alors il m'est apparut tout à coup évident que ces memes clés n'apparaissent pas dans les rapports d'HijackThis

Est-ce que je me trompe ?

De toutes façons j'attendrai d'avoir ton avis éclairé avant de faire quoi que ce soit, il vaut mieux :-(

Bonne soirée @ pluche tornado

tornado · le 13 avril 2006

Re alain2,

Ok il n'y a plus rien qui porte le nom wanadoo de toutes façons dans le panneau de configuration > ajouter/supprimer des programmes... En fait je retrouve l'espace wanadoo uniquement (en tous cas pour le moment) dans démarrer > tous les programmes, mais à l'état désinstallé

Le dossier Wanadoo dans C:\program files n'est pas vide je suppose ?

Aussi en cherchant dans spybot je me suis retrouvé dans le programme>outils>démarrage système et j'avais oublié qu'il y a quelques temps j'avais décoché certaines clés que spybot jugeait en meme temps qu' inutiles, louches mhh.gif

Alors il m'est apparut tout à coup évident que ces memes clés n'apparaissent pas dans les rapports d'HijackThis

C'est tout à fait normal... si tu as commencé par décocher les clés de démarrage dans Spybot , les lignes 04 qui correspondent à ces clés dans hijackhtis vont forcément ne plus apparaître, car Spybot les a supprimé... logique, nan ?

Bon, vu que ça n'a pas fonctionné, on va appliquer une méthode peu "orthodoxe" pour désinstaller definitivement l'espace wanadoo. Je te répondrais demain pour la procédure à suivre, car j'ai peur de faire des conneries là :-P ... il se fait un peu tard

A demain et bonne nuit :-(

Modifié le 13 avril 2006 par tornado

alain2 · le 14 avril 2006

Bien le bonjour tornado :-P

Alors donc le dossier wanadoo dans C:\Program files est vide de chez vide il n'y a plus que le messager wanadoo qui contient un dossier Thumbs.db ( j'ai dû décocher *masquer les fichiers protégés du système d'exploitation pour le voir ).

Lorsque tu dis que Spybot a supprimé les lignes décochées qui correspondent au démarrage de certains programmes ( inutiles, gourmands et /ou malveillants ) est ce que celà signifie que ces mêmes progammes ne sont plus sur ma machine et /ou sont entierement neutralisés sans pouvoir un jour être utilisés ?

En clair, est ce que le fait d'avoir fait disparaitre ces lignes ne risquerait-il pas de masquer sur mes rapports HitjakThis une ou des éventuelles infections ?

J'espère ne pas poser de questions trop bêtes voir inutiles

tornado · le 14 avril 2006

Bonjour alain2 ,

Alors donc le dossier wanadoo dans C:\Program files est vide de chez vide icon_wink.gif il n'y a plus que le messager wanadoo qui contient un dossier Thumbs.db ( j'ai dû décocher *masquer les fichiers protégés du système d'exploitation pour le voir )

Cela signifie que la désinstallation a bien fonctionné. Tu peux donc supprimer le dossier C:\Program files\Wanadoo

Théoriquement, il n'y a donc plus de lignes correspondant à Wanadoo dans ton log à présent. Mais j'aimerais que tu m'envoies un nouveau rapport hijackthis pour vérifier.

Lorsque tu dis que Spybot a supprimé les lignes décochées qui correspondent au démarrage de certains programmes ( inutiles, gourmands et /ou malveillants ) est ce que celà signifie que ces mêmes progammes ne sont plus sur ma machine et /ou sont entierement neutralisés sans pouvoir un jour être utilisés ?

En fait, quand tu supprimes ces clés, tu enlèves les programmes correspondants au démarrage de Windows. Mais cela ne supprime pas le programme lui-même, il te faut juste le lancer par toi-même si besoin.

En clair, est ce que le fait d'avoir fait disparaitre ces lignes ne risquerait-il pas de masquer sur mes rapports HitjakThis une ou des éventuelles infections ?

Nan, pas du tout... on s'en est occupé des infections dans les précédents posts. Si tu es de nouveau infecté(ce que je je n'espère pas), de nouvelles lignes infectieuses apparaîtront dans ton log... (mais ce n'est pas toujours cas, car certains malwares déjouent hijackthis)

Sinon, as-tu toujours des disfonctionnements ?

A+

alain2 · le 14 avril 2006

rEu tornado

Ok alors tout va bien et j'ai supprimé le dossier C:\Program files\Wanadoo ( une fenetre est apparue m'informant que celà pouvait créer des dysfonctionnements ) mais bon pour le moment ça roule :-(

Pour mes problèmes de déconnections en fait une fenêtre s'ouvre et me dit que n'ayant pas suffisamment de bande passante un programme (dont j'ai oublié le nom ...le gestionnaire des ports USB ? ) doit faire quelque chose je clic OK , ça suffit pour dépanner et aprés, en général, ça reste stable... J'ai souvent le problème lorsque je sort mon pc de la veille ( un peu comme moi :-P )

Je n'ai pas d'autres USB branchés, mon imprimante je ne l'allume que lorsque j'en ai l'utilité, ma weeb cam je l'ai désinstallé ( en y réfléchissant, je n'avais jamais eu de problèmes USB avant d'avoir mis cette weebcam ).

Et aussi je n'ai jamais réussi à faire le test de mes périphériques ( il s'arrete de suite et me marque erreur de script )

Je regarde sur l'Observateur d'événements et il y en a beaucoup ( plus d'informations que d'erreurs ) rien qu'en une journée mais là je suis perdu dans ce truc

alain2 · le 14 avril 2006

Reu rEu tornado :-P

Je savais que j'oubliais quelque chose et ce n'était pas, une fois n'est pas coutume, ma liste des courses

Donc je refais un rapport HijakThis que je colle...

Logfile of HijackThis v1.99.1

Scan saved at 14:45:14, on 14/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE