log hijackthis
log hijackthis - Sécurité - Windows & Software
Marsh Posté le 29-04-2006 à 17:10:08
Décrire les soucis que tu as, au lieu de poster un log "brut" 
---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Marsh Posté le 29-04-2006 à 18:47:00
Les soucis que j'ai, alors voilà:
Il s'agit du pc de mon père qui a tourné un certain moment sans aucune protection! mais il ne va pas trop sur internet (modem 50Ko/s)
Il n'arrivait plus a se connecter normalement, internet très lent.
Je lui ai maintenant installé l'antivirus de G Data (que pensez-vous de ce programme) et ainsi que Zone Alarm. Avant j'ai désinstallé Norton 2004 (antivirus + internet security) (reste-t-il quelque chose de Norton dans mon log?). J'ai fais les upgrade et j'ai scanné le disque. Il a trouvé "backdoor" (il me semble que c'était un truc du style) et d'autre petit truc. J'ai tout redémarré.
Ensuite Ad-Aware et Spybot qui ont fait un peu de ménageAprès en voulant aller sur internet j'ai constaté qu'il avait nouveau des soucis de connection.Je pouvais envoyé des mails, mais il n'allait plus qu page que je rentrais. Meme parfois il allait à la page que j'avais rentré avant, comme s'il y avait un décalage. Zone alarme m'annonçait aussi qu'il bloquait le port avec l'adresse IP pour internet.
Enfin j'ai a nouveau tout redémaré et là ça semblait aller mieux (j'aurais du redemarer apres les ménage de spybot et Ad-Aware).
J'ai quand meme fait un log et pour voir un peu comment qu'il était je l'ai évaluer sur le site hijackthis.de (je sais vous n'aimez pas ce site) mais c'était pour me faire une idée. Et la il m'annonce bcp de truc méchant.
Voilà mes explications
Merci
J'ai redémaré encore une fois le pc et là ça semblait aller mieux (j'ai du redémarer
Marsh Posté le 29-04-2006 à 19:02:55
Bonjour a tous,
Ton log est assez infecte.
* Imprime les instructions ou enregistre les dans un fichier texte.
* Télécharge et installe ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
* Télécharger et installer :
- Ewido http://www.ewido.net/fr/download/
* Durant l'installation
* Sur la page Additional Options
* Décoche Install background guardet et Install scan via context menu
* Lance Ewido Security Suite. Clique sur Mise à jour mais ne t'en serts pas tout de suite.
* S'assurer que tout les fichiers soient la :
- Autorise l'affichage des fichiers et dossiers cachés
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Cocher Afficher les Fichiers et dossiers cachés
- Décocher Masquer les fichiers protégés du système d'exploitation (recommandé)
- Décocher Masquer les extensions dont le type est connu
- Clique sur Appliquer et Ok pour valider les changements
* Redémarrez votre PC en mode sans échec [ http://www.sosordi.net/Faq/Faq.2.html ] [color=red] Impératif [/color] !!!
* Enlever les lignes nefastes :
Relancez HijackThis et cliquez sur Scan only puis cochez les lignes [ si presentes ] en gras ci-dessous :
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [B3D24EB3] C:\WINDOWS\System32\hydlxrfoxl.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvrs.exe
O4 - HKLM\..\Run: [Microsoft JavaVM] msjarun.exe
O4 - HKLM\..\Run: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\Run: [OEM32 Tools] sres32.exe
O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\Run: [Windows secure] setver32.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvrs.exe
O4 - HKLM\..\RunServices: [Microsoft JavaVM] msjarun.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [OEM32 Tools] sres32.exe
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\RunServices: [Windows secure] setver32.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvrs.exe
O4 - HKCU\..\Run: [Microsoft JavaVM] msjarun.exe
O4 - HKCU\..\Run: [OEM32 Tools] sres32.exe
O4 - HKCU\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\Run: [Windows secure] setver32.exe
Fermez toutes les applications en cours sauf HijackThis et faites Fixed checked .
* Supprimez les mauvais fichiers :
Supprimez les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.
C:\WINDOWS\ avserve2.exe <= Le fichier
C:\WINDOWS\System32\ hydlxrfoxl.exe <= Le fichier
wkssvrs.exe
msjarun.exe
regscan32.exe
sysentry32.exe
sres32.exe
winssv.exe
setver32.exe
Important : Pour ceux ou il n'y pas le chemin d'accés devant, faire Démarrer / Rechercher puis Taper le nom du fichier et supprimer et coche la case Inclure les fichiers caches ( etre très vigilant avec les noms !!! )
* Démarre ATF-Cleaner :
Coche ceci :
* Windows Temp
* Current User Temp
* All Users Temp
* Cookies
* Temporary Internet Files
* Prefetch
* Java Cache
* Recycle Bin
Clique sur Empty Selected et au message "Done Cleaning" sur Ok
* Faire un scan avec Ewido
* Clique sur Scanner et choisir Scan complet du système
* Si des fichiers infectés sont trouvés, toujours les supprimer
* Le scan fini, sauver le rapport et le postez ici.
* Voir les resultats de la manipulation :
Redémarrez l'ordinateur en mode normal et postez un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport Ewido.
Marsh Posté le 29-04-2006 à 19:03:59
Voila pour suprimer ton norton antivirus completement car il me semble que ce n'est pas avec ces manipulations que tu arrivera a le suprimer^^.
------->http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924?Open&src=&docid=20040413131641928&nsf=SUPPORT%5CINTER%5Cnisintl.nsf&view=833aab0c51f1b15a88256da6006a0505&dtype=&prod=&ver=&osv=&osv_lvl=
Message édité par devilfox1 le 29-04-2006 à 19:04:20
Marsh Posté le 29-04-2006 à 19:07:05
Re a tous,
* Il n'y a plus de traces de Norton.
* Pour ton nouvelle antivirus que tu as, je ne le connais pas.
Marsh Posté le 29-04-2006 à 19:10:10
Et bien si il n'ya plus traces j'ai fait un post pour rien j'en suis desoler 
mais bon c'etait pour en etre certain voila anthony10 il esta toi occupe toi bien de son pc 
Marsh Posté le 29-04-2006 à 19:12:43
Bonjour devilfox1,
* Ce n'est pas grave mais garde ton lien sous la main car peu de personnes savent desinstaller Norton completement.
* Bonne initiative que de faire un topic sur Hijackthis. Sais tu analyser ??
* Son Pc est infecte mais le sera moins apres ma manpulation.
Message édité par Anthony10 le 29-04-2006 à 19:13:24
Marsh Posté le 29-04-2006 à 19:21:31
Je ne suis plus chez mon père la, mais je vais y retourner tout bientot pour faire le ménage (sur son pc :-) ). je lui ai dis de ne plus aller sur internet pour le moment! sauf les mails et de faire attention.
Vous pensez qu'il faut bcp de temps pour faire toute cette manipulation.
J'ai désinstallé norton simplement sous "paramètres/ajout-suppression de programmes", t'es sur que c'est bon?
Marsh Posté le 29-04-2006 à 19:23:12
* Normalement c'est bon mais essaye de faire ce qui est indique ici :
http://forum.zebulon.fr/index.php? [...] 38&t=57795
Marsh Posté le 01-05-2006 à 20:58:47
Hello,
voilà j'ai tenté de soigné l'ordi de mon père.
Voici les logs:
Logfile of HijackThis v1.99.1
Scan saved at 20:49:06, on 01.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\AntiVirusKit 2006\AVKService.exe
C:\Program Files\AntiVirusKit 2006\AVKWCtl.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec\LiveUpdate\AUpdate.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVirusKit 2006\AVKTray\AVKTray.exe
C:\Program Files\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Adobe\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\AntiVirusKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirusKit 2006\AVKService.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirusKit 2006\AVKWCtl.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Driver (ZEROFUZION) - Unknown owner - C:\WINDOWS\System32\winxpdriver.exe" -netsvcs (file missing)
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 20:41:16, 01.05.2006
+ Somme de contrôle: 5C571748
+ Résultats du scan:
C:\WINDOWS\system32\bling.exe -> Heuristic.Win32.Morphine-Crypted : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP2200 -> Heuristic.Win32.Morphine-Crypted : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP2720 -> Backdoor.SdBot.mb : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP2724 -> Backdoor.Rbot : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP2784 -> Backdoor.Rbot : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP3244 -> Backdoor.Rbot : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP3448 -> Backdoor.Rbot : Nettoyer et sauvegarder
::Fin du rapport
Marsh Posté le 01-05-2006 à 21:01:15
Sinon encore une chose,
il y a toujours LiveUpdate Engine COM Module correspond au lien suivant qui veut se connecter a internet: C:\Program Files\Symantec\LiveUpdate\LuComServer.EXE
que faut-il faire?
Marsh Posté le 01-05-2006 à 21:29:34
Mon antivirus vient de stoper ça:
Virus: Generic.Malware.SI.267D3C3C
Fichier: A0032767.exe
Dossier: C:\System Volume Information\_restore{F7961257-A8B5-4360-AD76-63A04B2B1406}\RP145
Procédure: svchost.exe
Je dois bloquer ou supprimer le fichier!?
Marsh Posté le 02-05-2006 à 12:06:20
Bonjour a tous.
* Clique sur Démarrer - Exécuter tape Services.msc
* Repére cette ligne Windows Driver double clic dessus, et à Type de démarrage choisis dans la liste Désactivé
| Citation : Sinon encore une chose, |
Ce service appartient a Norton.
Si tu veux desinstaller Norton entierement et proprement :
http://forum.zebulon.fr/index.php? [...] 38&t=57795
| Citation : Mon antivirus vient de stoper ça: |
* Désactivez la restauration systéme [ http://www.sosordi.net/Astuce/Astuce.29.html ]
* Repost un log apres avoir fais tout ca.
Marsh Posté le 02-05-2006 à 12:57:03
| Citation : Bonjour a tous. |
c'est pour faire quoi ça!? le fait que ce soit activé provoque quoi?
| Citation : |
pourquoi faut-il désactiver la restauration!? ton lien dit qu'il faut désactiver pour un supprimer un trojan et ensuite de reactiver. Et la tu me dis seulement de le désactiver et tu me dis pas ce qu'il faut supprimer!?
En tous les cas merci beaucoup pour ton soutien
Marsh Posté le 02-05-2006 à 13:24:43
* La premiere manip' sert a desactiver un service.
Ce service est mauvais donc je te le fais desactive : O23 - Service: Windows Driver (ZEROFUZION) - Unknown owner - C:\WINDOWS\System32\winxpdriver.exe" -netsvcs (file missing)
* La seconde manip' car le virus que tu as trouve est dans ta restauration systeme donc je la desactive pour ne plus que tu es ce virus.
Virus: Generic.Malware.SI.267D3C3C
Fichier: A0032767.exe
Dossier: C:\System Volume Information\_restore{F7961257-A8B5-4360-AD76-63A04B2B1406}\RP145
Procédure: svchost.exe
[/quote]
[quote]
Marsh Posté le 02-05-2006 à 13:33:16
ok, mais après on va supprimer ce virus et reactiver la restauration??
la restauration du système c'est utile ou inutile?
Je ferai tes manip ce soir car la je n'ai pas l'ordi de mon père a disposition.
Marsh Posté le 02-05-2006 à 14:16:13
alors pourquoi tu me la fais désactiver et rien faire d'autre?
Marsh Posté le 02-05-2006 à 17:32:07
voilà le log:
Logfile of HijackThis v1.99.1
Scan saved at 17:31:05, on 02.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\AntiVirusKit 2006\AVKService.exe
C:\Program Files\AntiVirusKit 2006\AVKWCtl.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVirusKit 2006\AVKTray\AVKTray.exe
C:\Program Files\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Propriétaire\Bureau\Frédéric ne pas effacer\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Adobe\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\AntiVirusKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirusKit 2006\AVKService.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirusKit 2006\AVKWCtl.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Marsh Posté le 02-05-2006 à 17:35:03
ça correspond a quoi cette ligne?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html
Marsh Posté le 02-05-2006 à 18:52:56
Ton log est propre.
| Citation : ça correspond a quoi cette ligne? |
Ca correspond a ta page de demarrage et a ton fournisseur Internet, si je ne me trompe.
Marsh Posté le 02-05-2006 à 20:10:43
Encore une question, faut-il que je réactive la restauration du systeme?
Marsh Posté le 03-05-2006 à 13:38:37
Bonjour.
Il faut bien sur que tu la reactives.
On va verifier s'il ne reste pas de malwares.
* Faire un scan en ligne avec Panda : http://www.pandasoftware.com/activ [...] ncipal.htm
Apres, collez le rapport ici.
Sujets relatifs:
- [LOG Hijackthis] Probleme de lag
- Log Hijackthis, a quoi correspond cette ligne?
- Probleme de Spyware - Ci joit le LOg HiJackThis
- chose de louche sur cet ordi (demande d'analyse hijackthis)
- Help ! analyse hijackthis pour un NUL en informatique
- Log HiJackThis : petit coup de main ?
- Besoin d'aide avec Hijackthis
- rapport HijackThis, besoin d'aide...
- Analyse HijackThis suite problème Services
- hijackthis, service méchant...(Résolu)
Marsh Posté le 29-04-2006 à 16:48:41
Hello,
Apparemment mon log est bof bof? que faut-il faire?
Logfile of HijackThis v1.99.1
Scan saved at 16:38:54, on 29.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\AntiVirusKit 2006\AVKService.exe
C:\Program Files\AntiVirusKit 2006\AVKWCtl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVirusKit 2006\AVKTray\AVKTray.exe
C:\Program Files\ZoneAlarm\zlclient.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bookmarks.bluewin.ch/f/searchpane.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Adobe\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [B3D24EB3] C:\WINDOWS\System32\hydlxrfoxl.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvrs.exe
O4 - HKLM\..\Run: [Microsoft JavaVM] msjarun.exe
O4 - HKLM\..\Run: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\Run: [OEM32 Tools] sres32.exe
O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\Run: [Windows secure] setver32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\AntiVirusKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvrs.exe
O4 - HKLM\..\RunServices: [Microsoft JavaVM] msjarun.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [OEM32 Tools] sres32.exe
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\RunServices: [Windows secure] setver32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Updates] wkssvrs.exe
O4 - HKCU\..\Run: [Microsoft JavaVM] msjarun.exe
O4 - HKCU\..\Run: [OEM32 Tools] sres32.exe
O4 - HKCU\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\Run: [Windows secure] setver32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.bluewin.ch/index_f.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{36D9F618-2CEB-4E23-9419-2945D5772AA6}: NameServer = 195.186.4.109 195.186.1.109
O17 - HKLM\System\CS1\Services\Tcpip\..\{36D9F618-2CEB-4E23-9419-2945D5772AA6}: NameServer = 195.186.4.109 195.186.1.109
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirusKit 2006\AVKService.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirusKit 2006\AVKWCtl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Driver (ZEROFUZION) - Unknown owner - C:\WINDOWS\System32\winxpdriver.exe" -netsvcs (file missing)
Message édité par Wolfman le 01-05-2006 à 21:31:46