Aide analyse HIJACKTHIS

Résolu/Fermé
baba cool Messages postés 340 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 27 janvier 2013 - 17 mai 2009 à 12:20
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 19 mai 2009 à 20:26
Bonjour, depuis 2 ou 3 jours, lorsque je démarre ma machine mon pare-feu est désactivé (alors que lorsque je l'eteint il est activé) et Avira ne démarre plus automatiquement au démarrage (dans msconfig il est bien coché), donc j'ai fais une analyse hijackthis dont voici le log : (y une ligne O4 qui me parait louche...) Bien entendu ma base antivirus est à jour ainsi que la base malwarebyte. Merci pour votre aide

RAPPORT HIJACK

P:\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
P:\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
P:\Avira\AntiVir Desktop\avgnt.exe
P:\HP\HP Software Update\HPWuSchd2.exe
P:\Winamp\winampa.exe
C:\Program Files\pdfforge Toolbar\SearchSettings.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Winamp Remote\bin\OrbTray.exe
P:\HP\Digital Imaging\bin\hpqtra08.exe
p:\avira\antivir desktop\avcenter.exe
P:\Avira\AntiVir Desktop\avguard.exe
P:\HP\Digital Imaging\bin\hpqSTE08.exe
P:\HP\Digital Imaging\bin\hpqbam08.exe
P:\Winamp\winamp.exe
P:\Mozilla\firefox.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - P:\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - P:\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [avgnt] "P:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] P:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] P:\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [WinampAgent] P:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = P:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://P:\office03\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - P:\office03\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - P:\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - P:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - P:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - P:\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
A voir également:

32 réponses

baba cool Messages postés 340 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 27 janvier 2013 18
17 mai 2009 à 12:57
Ok, si je comprends bien le fait de poster un rapport hijack sur un forum comporte des risques
0
Utilisateur anonyme
17 mai 2009 à 12:58
Re,

Mais non , tu n'as pas a t'inquiéter a sa m'énerve sa ...
0
jacques.gache Messages postés 33442 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 640
17 mai 2009 à 12:58
baba cool,http://www.commentcamarche.net/forum/affich-12490039-aide-analyse-hijackthis?#13
0
baba cool Messages postés 340 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 27 janvier 2013 18
17 mai 2009 à 13:03
En attendant merci pour votre aide... car en terme de sécurité des machines je ne suis pas trés "calé" ormis les contrôles "de base" des AV et malwares
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
^^Marie^^ Messages postés 113926 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 276
17 mai 2009 à 13:09
Bonjour

Pour suivre

++
0
baba cool Messages postés 340 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 27 janvier 2013 18
17 mai 2009 à 15:15
Salut jipjip j'ai fait le scan panda et il n'a rien trouvé, juste un COOKIE suspect...
0
baba cool Messages postés 340 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 27 janvier 2013 18
19 mai 2009 à 19:22
Re jipjip voici le rapport aprés avoir fait le choix 2 :

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : Award Modular BIOS v6.00PG
USER : che ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:79 Go (Free:69 Go)
D:\ (Local Disk) - NTFS - Total:400 Go (Free:178 Go)
F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
P:\ (Local Disk) - NTFS - Total:99 Go (Free:83 Go)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 19/05/2009|19:20 )

-----------\\ SUPPRESSION

Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings\kb128
Supprime! - C:\DOCUME~1\che\APPLIC~1\Search Settings\kb128
Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings
Supprime! - C:\DOCUME~1\che\APPLIC~1\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(che) - {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a} => foxtab


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"
"Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 17/05/2009|12:33 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 19/05/2009|19:21 - Option : [2]

-----------\\ Fin du rapport a 19:21:15,56
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
19 mai 2009 à 19:27
ok
comment va le pc?
0
baba cool Messages postés 340 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 27 janvier 2013 18
19 mai 2009 à 19:28
Salut, je reboot et jte dis ca
0
baba cool Messages postés 340 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 27 janvier 2013 18
19 mai 2009 à 19:37
Aprés avoir rebooter ma machine, le pare-feu est resté activé donc nickel de ce côté, par contre avira ne démarre pas automatiquement.... j'ai vérifié dans MSCONFIG et le service avira est bien coché, penses-tu que cela vienne du registre? et peux - tu m'expliquer stp le rôle de toolbar merci!
0
baba cool Messages postés 340 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 27 janvier 2013 18
19 mai 2009 à 20:15
jipjip, c'est bon j'ai trouvé pour avira, le srvice était sur manuel :-) par contre les infos sur toolbar m'interesse toujours...! je met le thread en résolu merci
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
19 mai 2009 à 20:26
toolbar sd sert a virer les barres de recherches ajoutées a ton explorateur (internet explorer ...) qui sont considérées comme néfaste


pour virer ce qui a été utilisé:



Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ps : pas besoin de m´envoyer le rapport si tout a été supprimé
0