interpreter le rapport hijackthis1

[regis56]

Bonjour ieroue !

 

Attend charles ingals et tornado c'est eux qui s'occupent de toi !

 

Cependant deux remarques

1/Je pense qu'il faudra s'occuper de la restauration du système

2/Il faudrait voir pour les clés trouvées par ad-aware si elles sont toujours là après le passage de JV16 ?

=> refaire un scan ad-aware peut étre ?

 

NB : Si le scan Panda ne fonctionne pas essai ceci

 

-Faire un scan antivirus en ligne

http://housecall65.trendmicro.com/ (fire fox ou IE)

Eventuellement faire celui-ci

http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement)

 

A la fin du scan, sauvegarder le rapport sur le Bureau.(cliquer sur l'onglet Résultats/ puis cliquer sur Edition/tout sélectionner/copier puis ouvrir un fichier texte et coller la sélection dedans)

 

-Poster le(s) rapport(s) trendmicro

 

A plus !

[Thanos]

salut ieroue, regis56

 

ok pour les dossiers effacés! Dis moi, le rapport de Spybot montre un certain nombre de clés de registre liées

 

aux infections nettoyées : ces clés sont encore présentes dans ton registre, as tu bien cliqué sur le bouton

 

"corriger les problèmes" une fois le scan Spybot effectué(excuse la question bête )?Si c'est le cas, on

 

fera un fichier reg pour nettoyer la base de registre ;dans le cas contraire relance Spybot et une fois le scan

 

termniné , n'oublie pas de cliquer sur le bouton "Corriger les problèmes" puis refais un scan pour voir si tout a

 

bien été éliminé!

 

On va voir ce que le scan en ligne dévoile! Avant de faire le scan Panda , relance Hijackthis et coche la ligne 016 suivante:

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

-Ferme tous les programmes et clique sur "Fix Checked"

 

ensuite tu réessaies le scan chez Panda. S'il ne fonctionne toujours pas ,essaie plutôt celui ci=>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Le problème avec le scan de chez Trendmicro, c'est qu'il ne génère pas de rapport, hors on a besoin du rapport!

 

@+ tard

[ieroue]

Salut charles ingals (et regis 56)

 

 

J'ai lancé à deux reprises le scan Spybot et cela a semble-t-il bien marché . Je pense que, hier, j'ai loupé le redémarrage du pc après la correction des problèmes. milles excuses .

 

En relançant Hijackthis je n' ai trouvé aucune ligne O16. Je post donc le rapport ci-dessous.

 

Le scan Panda a généré le rapport ci dessous.

 

 

à bientôt

 

 

 

 

 

rapport Hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 10:30:30, on 27/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\Hijackthis Version Française2\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [HPHUPD08] C:\Program Files\Hewlett-Packard\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger le site web avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm

O8 - Extra context menu item: Télécharger sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger tout avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

 

 

 

 

 

rapport Panda

 

Incident Statut Analyse

 

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\ADMINI\Cookies\admini@bluestreak[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\ADMINI\Cookies\admini@xiti[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\ADMINI\Cookies\admini@bluestreak[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\ADMINI\Cookies\admini@xiti[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\delbosc.DELBOSC-MVVG0J4\Cookies\delbosc@belnk[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\delbosc.DELBOSC-MVVG0J4\Cookies\delbosc@xiti[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\huguette\Cookies\huguette@belnk[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\huguette\Cookies\huguette@xiti[2].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@belnk[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\Proprietaire\Cookies\proprietaire@belnk[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Proprietaire\Cookies\proprietaire@xiti[1].txt

Outil indésirable:Application/MyWay No Désinfecté C:\Program Files\HijackThis\backups\backup-20060324-171305-856.dll

Outil indésirable:Application/P2PNetworking No Désinfecté C:\Program Files\HijackThis\backups\backup-20060324-171307-977.dll

Dialer:Dialer.KS No Désinfecté C:\Program Files\mp3\mp3.exe

Dialer:Dialer.KS No Désinfecté C:\Program Files\mp3\mp3.htm

Spyware:Cookie/Xiti No Désinfecté H:\windows\Cookies\delbosc@xiti[1].txt

[tornado]

Salut ieroue, régis56, charles ,

 

 

J'ai lancé à deux reprises le scan Spybot et cela a semble-t-il bien marché icon_Fete2.gif . Je pense icon_confused.gif que, hier, j'ai loupé le redémarrage du pc après la correction des problèmes. milles excuses boulet.gif

 

Cela signifie qu'il ne détecte plus rien à présent ?

 

 

Bon, le rapport de panda indique encore une bestiole... on va s'en occuper en mode sans échec:

 

 

1/ Redémarre en mode sans échec

 

 

2/ Recherche les dossiers suivants via l'explorateurs Windows (active l'affichage des dossiers cachés si ce n'est pas déjà fait) :

 

 

- C:\Program Files\mp3 => SUPPRIME ce dossier

 

 

- C:\Program Files\HijackThis\backups => VIDE ce dossier. Il correspond aux sauvegardes d'hijackthis, mais on peut les supprimer sans problèmes car elles ne te seront plus utiles et il vaut mieux s'en débarasser car elles correspondent ici aux lignes infectieuses qu'on avait fixées

 

 

 

3/ Nettoie ton système avec Easycleaner (inutiles et registre) et ATF-cleaner, et termine par un nettoyage complet du registre avec Jv16 powertools (voir la procédure précédente )

 

 

 

4/ Redémarre en mode normal, refais à nouveau le scan de panda et poste le rapport

 

 

 

 

 

Bonne chance

Modifié le 27 mars 2006 par tornado

[ieroue]

Bonjour tornado,régis 56 et charles

 

Cela signifie qu'il ne détecte plus rien à présent ?

 

Effectivement au second scan j'avais "félicitations aucun mouchard n'a été trouvé".

 

Easycleaner - dans registre a supprimé 100 entrées

- dans inutiles a supprimé 1387 fichiers

 

ATF-cleaner : RAS

 

Jv16 powerstools a supprimé les 92 cles vertes sélectionnées

 

Ci- joint rapport Panda

 

 

Merci et à +

 

 

 

 

Incident Statut Analyse

 

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\ADMINI\Cookies\admini@bluestreak[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\ADMINI\Cookies\admini@xiti[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\ADMINI\Cookies\admini@bluestreak[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\ADMINI\Cookies\admini@xiti[1].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\delbosc.DELBOSC-MVVG0J4\Cookies\delbosc@advertising[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\delbosc.DELBOSC-MVVG0J4\Cookies\delbosc@belnk[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\delbosc.DELBOSC-MVVG0J4\Cookies\delbosc@xiti[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\huguette\Cookies\huguette@belnk[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\huguette\Cookies\huguette@xiti[2].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@belnk[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\Proprietaire\Cookies\proprietaire@belnk[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Proprietaire\Cookies\proprietaire@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté H:\windows\Cookies\delbosc@xiti[1].txt

[tornado]

Re ,

 

 

 

Tu as bien travaillé... le rapport de panda indique seulement des cookies. Ton système est désormais propre

As tu toujours des disfonctionnements ?

 

On va donc commencer à sécuriser ton système...

 

Déjà, je ne vois aucun firewall sur tes rapports hijackthis. Le firewall est l'élément essentiel qui constitue la sécurité d'un système (et non! ce n'est pas l'antivirus). Je te recommande donc d'en installer un, car celui d'xp n'est pas suffisant; il ne filtre pas en sortie, cela signifie qu'un malware ayant infecté ton pc peut se connecter au net sans soucis...

Tu as 2 firewalls gratuits, simples et efficaces à ta disposition:

 

- Kerio personal firewall : Il est très simple à configurer... et, même si au bout de 30 jours, il perd certaines fonctions, cela ne nuit en aucun à sa vocation première.

• Tu peux le télécharger ici -->
  <a href="http://telechargement.zebulon.fr/82-kerio-personal-firewall-423912.html
  
• Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php"
  

- Zonealarm : Il est également très simple à paramétrer, et reste une bonne alternative à la version pro (payante)

• Tu peux le télécharger ici --> http://telechargement.zebulon.fr/58-zonealarm-61-fr.html
  
• Tu peux t'aider de ce tuto pour le configurer --> <a http://www.zebulon.fr/articles/configurationZA_1.php (même si il concerne la version pro, il s'applique également avec la version gratuite)
  

Informe-moi du firewall que tu as finalement choisi, et n'hésite pas à me demander si tu as des problèmes pour le paramétrage

 

 

A+

Modifié le 28 mars 2006 par tornado

[ieroue]

salut tornado

 

J' ai effectivement toujours des dysfonctionnements:

- connexion aux pages d'internet très,très lente;

- par curiosté j'ai affiché "l'observateur d'événements" et j'ai pas mal d'erreurs ou d'avertissements pour les applications et le système: est ce qu'il peut y avoir une relation ?

 

 

J' ai télechargé "Kerio personnal firewall" et je l'ai installé mais je suis incapable de le configurer:

- choix des applications pour "refuser sa communication localement ou à travers internet,

- quelles sont les conséquences de tel ou tel choix, p.e. pour le navigateur web,

- rentrer une description de la règle.......

- en résumé dès qu'un choix technique est laissée à mon appréciation, je me retrouve devant un mur du fait de ma connaissance, de base, de l'informatique.

 

 

Lorsque j'ai voulu lancer internet et ma page de démarrage (google) et bien que j'ai coché la case "créer une règle pour cette communcation et ne plus me demander",bien que le site soit indiqué comme trouvé, la page ne s'est jamais affichée : "impossible de ....."

 

j'ai donc désinstallé Kerio.

 

 

Au secours

 

A+

[Libellule]

j'ai cherché un peu partout ou mettre ce que je voulais vous faire connaitre et j'ai pensé que c'était ici la meilleure place mais si un modérateur veut le déplacer pour le mettre ailleurs ou lui donner une place de premier choix il le peut sans problème, voilà, une de mes soeurs ayant eu son pc infecté par un virus et plusieurs toolsbars quelquonque je lui ai fait passer hijackthis et en faisant une recherche sur le net je suis tombée sur ce site: Hijackthis,évaluation du log qui est tout simple à utiliser vous donnez votre .log hijackthis il l'analyse et vous signale ce qui ne va pas par des points rouge et orange et ce qui va bien par les points verts ensuite c'est à vous de cocher ce que vous voulez vraiment enlever car il a bien des petits log que vous aimez bien et que lui ne reconnais pas à vous d'étudier et d'agir en conséquence et si à la fin il y a encore quelque chose qui n'est pas bon vous pourrez toujours demander les conseils avisés de tout un chacun. Quel soulagement de travail pour tout le monde

j'espère ne pas avoir été trop barbante

Modifié le 29 mars 2006 par Libellule

[tornado]

Re,

 

 

 

J' ai effectivement toujours des dysfonctionnements: enerve.gif

- connexion aux pages d'internet très,très lente;

- par curiosté j'ai affiché "l'observateur d'événements" et j'ai pas mal d'erreurs ou d'avertissements pour les applications et le système: est ce qu'il peut y avoir une relation ?

 

Je ne pense pas que l'observateur va nous donner des réponses. Quel navigateur utilises-tu ?

 

Si c'est bien ce que je pense, tu utilises IE comme navigateur... je te conseille de changer de navigateur afin d'opter pour un navigateur plus sécurisé, rapide etc ... par rapport à IE. Je te recommande Firefox :

 

- pour le télécharger: http://www.mozilla-europe.org/fr/

- pour encore plus le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

 

L'installation d'un tel navigateur est un élément essentiel pour ta sécurité future...

 

 

 

J' ai télechargé "Kerio personnal firewall" et je l'ai installé mais je suis incapable de le configurer:

- choix des applications pour "refuser sa communication localement ou à travers internet,

- quelles sont les conséquences de tel ou tel choix, p.e. pour le navigateur web,

- rentrer une description de la règle.......

- en résumé dès qu'un choix technique est laissée à mon appréciation, je me retrouve devant un mur du fait de ma connaissance, de base, de l'informatique.

 

 

Lorsque j'ai voulu lancer internet et ma page de démarrage (google) et bien que j'ai coché la case "créer une règle pour cette communcation et ne plus me demander",bien que le site soit indiqué comme trouvé, la page ne s'est jamais affichée : "impossible de ....."

 

j'ai donc désinstallé Kerio.

 

 

Pourtant, le tuto spécifie bien la création de règles... essaye Zonealarm, qui te demande à chaque fois si tu veux qu'un programme se connecte au net. Il te suffit juste de connaître le programme en question.

 

 

 

 

Voilà, bonne chance.

 

 

PS: Pourrais tu poster un rapport hijackthis en mode normal

 

 

PS pour libellule : Cet analyseur "robot" n'est pas très fiable. Il laisse passer en général de "grosses" infections. Et puis, de toute façon, hijackthis n'est pas suffisant pour se débarasser des infections les + typiques...

Modifié le 29 mars 2006 par tornado