Avis d'un log hijackthis 2.02

Fermé
oukasth - 26 févr. 2009 à 23:31
 oukasth - 27 févr. 2009 à 22:54
Bonjour,


J'aimerai avoir un avis éclairé d'un analiste de ce forum pour un rapport hijacthis .


Merci
A voir également:

19 réponses

non , mais je voulais dire aujourd'hui , j'ai refait un nouveau scan avec clean.zip et il y a encore trouvé des lignes ! sont -elles légitimes . dois-je passer à l'étape 2 en mode sans échec ?
mon correspondant parti , n'était pas toi , C:\WINDOWS\System32\MRT.exe -->04/02/2009 00:21:12
C:\WINDOWS\winhlp32.exe -->14/04/2008 03:34:27
C:\WINDOWS\slrundll.exe -->14/04/2008 03:34:22
C:\WINDOWS\regedit.exe -->14/04/2008 03:34:19
C:\WINDOWS\notepad.exe -->14/04/2008 03:34:15
C:\WINDOWS\hh.exe -->14/04/2008 03:34:06
C:\WINDOWS\explorer.exe -->14/04/2008 03:34:03
C:\WINDOWS\System32\mshtml.dll -->16/01/2009 21:15:42
C:\WINDOWS\System32\wininet.dll -->20/12/2008 23:47:04
C:\WINDOWS\System32\webcheck.dll -->20/12/2008 23:47:03
C:\WINDOWS\System32\urlmon.dll -->20/12/2008 23:47:03
C:\WINDOWS\System32\url.dll -->20/12/2008 23:47:02
C:\WINDOWS\System32\pngfilt.dll -->20/12/2008 23:47:02
C:\WINDOWS\System32\occache.dll -->20/12/2008 23:47:02
C:\WINDOWS\System32\mstime.dll -->20/12/2008 23:47:02
C:\WINDOWS\System32\msrating.dll -->20/12/2008 23:47:01
C:\WINDOWS\System32\mshtmled.dll -->20/12/2008 23:47:01
C:\WINDOWS\System32\msfeedsbs.dll -->20/12/2008 23:46:57
C:\WINDOWS\System32\msfeeds.dll -->20/12/2008 23:46:56
C:\WINDOWS\System32\jsproxy.dll -->20/12/2008 23:46:56
C:\WINDOWS\System32\iertutil.dll -->20/12/2008 23:46:54
C:\WINDOWS\System32\iernonce.dll -->20/12/2008 23:46:54
C:\WINDOWS\System32\ieframe.dll -->20/12/2008 23:46:54
C:\WINDOWS\System32\iedkcs32.dll -->20/12/2008 23:46:50
C:\WINDOWS\System32\ieapfltr.dll -->20/12/2008 23:46:50
C:\WINDOWS\System32\ieaksie.dll -->20/12/2008 23:46:49
C:\WINDOWS\twain_32.dll -->14/04/2008 03:33:47
mais un autre .
2
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
26 févr. 2009 à 23:32
Nous l'attendons :)
0
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:35:00, on 26/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\6588780\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsrw.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\backweb\6588780\Program\fspex.exe
C:\PROGRA~1\SECURI~1\av_fw\ANTI-S~1\fsaw.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\eMule\emule.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\av_fw\FSGUI\FSSW.EXE" /reboot
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\Securitoo\av_fw\backweb\6588780\Program\fspex.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\Securitoo\av_fw\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\av_fw\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\av_fw\Anti-Spyware\ieshield.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C80E902-90D6-45C5-A91A-7277AC0A4DBD}: NameServer =
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\SECURI~1\av_fw\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
26 févr. 2009 à 23:42
Toi tu as eu récemment un trojan vundo H non ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Oui exact , on ne peut rien te cacher ( très bien ) j'ai désinfecté avec malwaresbytes' anti malwares. Que penses-tu du log ?

Merci
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
26 févr. 2009 à 23:55
Télécharge sur ton bureau Clean ==> http://www.malekal.com/download/clean.zip
= Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= double-clic Dossier Clean
= double-clic Clean. (avec comme symbole une roue dentée)
= Option 1 = taper 1
= copier/coller le rapport dans la réponse
0
j'aimerai que tu me donne ton avis global du rapport hijackthis . Y a t-il des lignes à fixer ?


Merci
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
27 févr. 2009 à 00:18
Non Mais pour récupérer du trojan je te conseil de faire la manip précédente...
0
voici le rapport de clean . excuse du retard
C:\WINDOWS\System32\jqzgfpy.sys -->27/02/2009 00:43:54
C:\WINDOWS\System32\wpa.dbl -->26/02/2009 16:46:15
C:\WINDOWS\System32\MRT.exe -->04/02/2009 00:21:12
C:\WINDOWS\System32\bnbqhtiv.ini -->20/01/2009 15:53:39
C:\WINDOWS\System32\6381871d-.txt -->20/01/2009 15:52:11
C:\WINDOWS\System32\mshtml.dll -->16/01/2009 21:15:42
C:\WINDOWS\System32\wininet.dll -->20/12/2008 23:47:04
C:\WINDOWS\System32\webcheck.dll -->20/12/2008 23:47:03
C:\WINDOWS\System32\urlmon.dll -->20/12/2008 23:47:03
C:\WINDOWS\System32\url.dll -->20/12/2008 23:47:02
C:\WINDOWS\System32\pngfilt.dll -->20/12/2008 23:47:02
C:\WINDOWS\System32\occache.dll -->20/12/2008 23:47:02
C:\WINDOWS\System32\mstime.dll -->20/12/2008 23:47:02
C:\WINDOWS\System32\msrating.dll -->20/12/2008 23:47:01
C:\WINDOWS\System32\mshtmled.dll -->20/12/2008 23:47:01
C:\WINDOWS\System32\msfeedsbs.dll -->20/12/2008 23:46:57
C:\WINDOWS\System32\msfeeds.dll -->20/12/2008 23:46:56
C:\WINDOWS\System32\jsproxy.dll -->20/12/2008 23:46:56
C:\WINDOWS\System32\inetcpl.cpl -->20/12/2008 23:46:56
C:\WINDOWS\System32\iertutil.dll -->20/12/2008 23:46:54
C:\WINDOWS\System32\iernonce.dll -->20/12/2008 23:46:54
C:\WINDOWS\System32\ieframe.dll -->20/12/2008 23:46:54
C:\WINDOWS\System32\iedkcs32.dll -->20/12/2008 23:46:50
C:\WINDOWS\System32\ieapfltr.dll -->20/12/2008 23:46:50
C:\WINDOWS\System32\ieaksie.dll -->20/12/2008 23:46:49

C:\WINDOWS\WindowsUpdate.log -->26/02/2009 23:46:12
C:\WINDOWS\wiadebug.log -->26/02/2009 16:45:45
C:\WINDOWS\wiaservc.log -->26/02/2009 16:45:44
C:\WINDOWS\bootstat.dat -->26/02/2009 16:45:42
C:\WINDOWS\SchedLgU.Txt -->26/02/2009 16:44:54
C:\WINDOWS\NeroDigital.ini -->23/02/2009 16:22:33
C:\WINDOWS\Sti_Trace.log -->27/01/2009 16:54:22
C:\WINDOWS\win.ini -->20/01/2009 17:14:57
C:\WINDOWS\winhlp32.exe -->14/04/2008 03:34:27
C:\WINDOWS\slrundll.exe -->14/04/2008 03:34:22
C:\WINDOWS\regedit.exe -->14/04/2008 03:34:19
C:\WINDOWS\notepad.exe -->14/04/2008 03:34:15
C:\WINDOWS\hh.exe -->14/04/2008 03:34:06
C:\WINDOWS\explorer.exe -->14/04/2008 03:34:03
C:\WINDOWS\twain_32.dll -->14/04/2008 03:33:47
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
27 févr. 2009 à 00:53
Redémarre en mode sans échec : https://leblogdeclaude.blogspot.com/2007/04/informatique-rebooter-xp-en-mode-sans.html

Lance Clean et l'option 2

Poste le rapport
0
voici le rapport de clean , option 2 , mode sans échec

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 27/02/2009 a 1:02:59,12

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
27 févr. 2009 à 01:24
Tu peux surfer tranquilou !!

Tout est OK
0
j'aimerai que tu m'expliques le rapport 1 de clean , à quoi correspondent les lignes ,


merci et encore excuse pour le retard
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
27 févr. 2009 à 21:44
Salut je viens de voir ton nouveau post !

Rassure toi l'analyse en mode sans échec est négative, donc pas de rootkits dans ton PC
0
ok merci à toi
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
27 févr. 2009 à 21:50
Au fait Le rapport 1 montre des fichiers cachés du system
0
le rapport d'hier ?
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
27 févr. 2009 à 21:55
Oui
0
ils devraient restés cachés ?
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
27 févr. 2009 à 22:12
Ils le sont toujours ;)
0
pourtant dans affichage , ne pas afficher les fichiers et dossiers chachés est activé .
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
27 févr. 2009 à 22:21
Oui oui peut etre mais ils sont caches "par nature"
0
par " défaut " tu veux dire !
0
indique moi le chemin , pour les cacher . merci à toi bugin
0
j'ai posté un nouveau post au sujet d'un nouveau log de clean , dois-je passer à l'étape 2 en mode sans échec , mon correspondant est parti ?
0
buginformatik Messages postés 2163 Date d'inscription mardi 16 janvier 2007 Statut Contributeur Dernière intervention 21 avril 2011 54
27 févr. 2009 à 22:39
Je suis toujours là

Tu as déjà passé l'option 2
http://www.commentcamarche.net/forum/affich 11267814 avis d un log hijackthis 2 02?#10

Mais tout est OK maintenant !!
0

Discussions similaires