Interprétation d'un fichier log de Hijackthis

Corey -  
 webaco -
Salut à tous,

je viens d'acheter un PC, pourtant il est déjà infesté de spywares, qdentica, agentsah, et autres Webrerates... Bref, ca me bouffe de la mémoire et ca provoque des bugs.

Je vous fais copier coler d emon log de hijack :

Logfile of HijackThis v1.99.0
Scan saved at 21:29:32, on 22/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\winssv.exe
C:\WINDOWS\System32\wualcts.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\svhost.exe
C:\WINDOWS\System32\snfxyf.exe
C:\WINDOWS\System32\winmplayd.exe
C:\mac.exe
C:\gam.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\eefmw.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Windows ServeAd\WinServAd.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\temp\salm.exe
C:\WINDOWS\System32\SahAgent.exe
C:\WINDOWS\System32\sepate.exe
C:\Program Files\Windows ServeAd\WinServSuit.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
C:\WINDOWS\System32\sepate.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=156448
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=156448
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=156448
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem302.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Servicio Local] svhost.exe
O4 - HKLM\..\Run: [Windows Compliant] snfxyf.exe
O4 - HKLM\..\Run: [Microsofts media] winmplayd.exe
O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\Run: [USBHWINFO] C:\mac.exe
O4 - HKLM\..\Run: [USBHWDRV] C:\gam.exe
O4 - HKLM\..\Run: [Task Help] wualcts.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [60TcRW] C:\WINDOWS\eefmw.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [yjohkhsj] C:\WINDOWS\yjohkhsj.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\whntoi.exe
O4 - HKLM\..\RunServices: [Servicio Local] svhost.exe
O4 - HKLM\..\RunServices: [Windows Compliant] snfxyf.exe
O4 - HKLM\..\RunServices: [Microsofts media] winmplayd.exe
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\RunServices: [Task Help] wualcts.exe
O4 - HKLM\..\RunServices: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\RunOnce: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\RunOnce: [Task Help] wualcts.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Servicio Local] svhost.exe
O4 - HKCU\..\Run: [Windows Compliant] snfxyf.exe
O4 - HKCU\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O4 - HKCU\..\Run: [Task Help] wualcts.exe
O4 - HKCU\..\Run: [Sepate Security Firewall] sepate.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\RunOnce: [Task Help] wualcts.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c18.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe


Alors, que dois-je enlever pour retrouver un pc propre ?
Un énorme merci à ceux qui prendront le temps de répondre
; - )
A voir également:

7 réponses

Réponse 1 / 7
boubou
 
Bonsoir ....

oula ....
y'a tellement de mechants dans ton pc ...
que je n'ose pas les recopier tous ......
copies ton log ici et analyse le en live ....
assis toi avant .... tu risques de prendre peur .....
courage ....
http://www.hijackthis.de/fr

JOYEUX NOEL QUAND MEME ! .....
Boubou
0
Réponse 2 / 7
tufs
 
salut vue ton log je te conseil d abord de faire le menage avec ça et seulement apres de refaire un log
http://www.emsisoft.net/fr/
http://www.lavasoftusa.com/french/software/adaware/
http://www.safer-networking.org/fr/
le tout en mode sans echec et restauration system desactiver
0
Réponse 3 / 7
sith wars
 
comment on vire sahagent.exe svp ?

merci d'avance
0
Réponse 4 / 7
Utilisateur anonyme
 
salut sith wars, tu fais remonter un topic de décembre 2004 pour sahagent.exe? le rapport : la ligne du log? vu la gueule de ce log, s'il n'y avait que ça ... ouille!

si tu veux te baser sur log d'un autre... donc on voit sur celui de corey
C:\WINDOWS\System32<-- situé ICI \SahAgent.exe

Processus a arrêter ICI
O4 - HKLM\..\Run <-- CTRL/ALT/SUPP/clic/arrêter: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe

Pour supprimer 1 programme.exe/FAIRE

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[[!! coche!!]] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[[ !!décoche!!]] la case "Masquer les fichiers protégés du système d'exploitation" *

3) passe en mode sans échec :
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

4) recherche et supprime
C:\WINDOWS\SYSTEM32<-- localisé ici \sahagent.exe<-- supprime

5) redémarre en mode normal - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

6) réactive ta restauration système



Loll il est passé où corey avec son ordi tout bouffé?


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
webaco
 
Deja dit, t'as tout là:
http://www.hijackthis.de/
:-) et avec le sourire ))))))))
0
Réponse 6 / 7
Utilisateur anonyme
 
webaco il faut lire les posts!...... celui de corey date du 2004-12-22 et est resté sans réponse et l'autre de sith wars sans log hijack.....

et avertit les forumeurs quand tu leur conseilles l'analyseur auto, on voit des catas avec ce bidule, il faut TOUT vérifier sur Google et avec le Tuto Hijack

^_^


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 7 / 7
webaco
 
t'as raison:
http://assiste.free.fr/p/pages_diverses/la_manip.php#recap

:-)
0

Discussions similaires

Chemin Logo du site de la Cité de l'espace
Keiios -
blux -

11 réponses