Analyse d'un log de hijack
chacha37
-
chacha37 -
chacha37 -
rerebonjour! Je vous serai profondément reconnaissant de m'aider à analyser le log suivant! Merci d'avance!
Logfile of HijackThis v1.99.0
Scan saved at 23:43:36, on 24/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
D:\WINDOWS\System32\icp.exe
\?\D:\WINDOWS\system32\WBEM\WMIADAP.EXE
D:\Documents and Settings\chacha\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Club-Internet.lnk = D:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABD7256B-3184-4F59-A040-2A70CF25F297}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - D:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - D:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - D:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - D:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - D:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - D:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - D:\WINDOWS\System32\wbem\wmiapsrv.exe
Logfile of HijackThis v1.99.0
Scan saved at 23:43:36, on 24/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
D:\WINDOWS\System32\icp.exe
\?\D:\WINDOWS\system32\WBEM\WMIADAP.EXE
D:\Documents and Settings\chacha\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Club-Internet.lnk = D:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABD7256B-3184-4F59-A040-2A70CF25F297}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - D:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - D:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - D:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - D:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - D:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - D:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - D:\WINDOWS\System32\wbem\wmiapsrv.exe
A voir également:
- Analyse d'un log de hijack
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Échec de l'analyse antivirus. ✓ - Forum Antivirus
- Analyse performance pc - Guide
- Nouveau tag analysé - Forum Huawei
3 réponses
salut
tu fait ctrl alt suppr sur l onglet processus tu cherche ceci
icp.exe
si tu trouve tu clik une foix dessus et tu clik sur terminer prosessus tu vas avoir un avertyissement de windows mais tu fait oui quand meme
ensuite relance hijack coches ces lignes et clik sur fix
O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
la tu recherche et suppr ceci
icp.exe
redemarre etrefait un hijack stp
la chasse et le balltrap ma vrai passion
voir site perso dans profil
tu fait ctrl alt suppr sur l onglet processus tu cherche ceci
icp.exe
si tu trouve tu clik une foix dessus et tu clik sur terminer prosessus tu vas avoir un avertyissement de windows mais tu fait oui quand meme
ensuite relance hijack coches ces lignes et clik sur fix
O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
la tu recherche et suppr ceci
icp.exe
redemarre etrefait un hijack stp
la chasse et le balltrap ma vrai passion
voir site perso dans profil
chacha37
milles merci vous etes bien les crocodiles dundee de la toile!
salut
Infection par trojan sans doute
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.AIW
tu effaces plus facilement si tu relances ton ordi mode sans échec
Fais rechercher puis vérifier Propriétés de ceux-ci, si inconnu (de toi ou non placé par toi) à Zipper (comprimer avec WinZip ou WinRar) puis effacer le .exe
D:\WINDOWS\System32\icp.exe
Relances HijackThis et cocher toutes ces lignes, puis FIX :
O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe >si inconnu
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe > si inconnu
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm >> si c’est pas toi qui a installé, à cocher
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm > idem
a+
Infection par trojan sans doute
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.AIW
tu effaces plus facilement si tu relances ton ordi mode sans échec
Fais rechercher puis vérifier Propriétés de ceux-ci, si inconnu (de toi ou non placé par toi) à Zipper (comprimer avec WinZip ou WinRar) puis effacer le .exe
D:\WINDOWS\System32\icp.exe
Relances HijackThis et cocher toutes ces lignes, puis FIX :
O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe >si inconnu
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe > si inconnu
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm >> si c’est pas toi qui a installé, à cocher
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm > idem
a+
