Besoin d'aide lecture log hijackthis.

mikou -  
mikou27 Messages postés 99 Statut Membre -
Bonjour

serais t'il possible que l'on jette un oeuil sur mon log hijackthis car j'ai de gros doute niveau infection et performances au demarrage.

merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:45, on 30/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\girder32\Girder.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Documents and Settings\Administrateur\Mes documents\PouchinTVMod.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tux Internet explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O1 - Hosts: 66.102.11.99 www.google.fr
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\system32\msconfig.exe /auto
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - S-1-5-18 Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe (User 'Default user')
O4 - Startup: Girder3.lnk = C:\Program Files\girder32\Girder.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = ?
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

--
End of file - 4688 bytes
Configuration: Windows XP
Firefox 3.5.2

94 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Une analyse via un log HijackThis signale des doutes sur une infection et des performances au démarrage sur Windows XP SP2, avec des paramètres et des occurrences potentiellement malveillants relevés. Plusieurs réponses préconisent des analyses complémentaires avec Malwarebytes' Anti-Malware et SmitFraudFix, ainsi que le recours à RSIT pour revoir les éléments et à des outils antivirus comme Avast ou Avira. Des éléments jugés suspects portent sur des entrées de démarrage et des emplacements inhabituels de svchost.exe, citant notamment VistaDrive, ctfmon.exe et des importations Run associées à RocketDock. En cas de poursuite, la discussion évoque aussi la vérification de pare-feu comme Kerio et l’importance d’un rapport consolidé pour guider une désinfection complète sans conclure sur l’état final du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    A demain avec le 2 rapports.

    Me faire ceci pour un examen complet de ton PC.

    ▶ Télécharge Random's System Information Tool (RSIT).

    ▶ Un tutoriel est à ta disposition pour l'installer et l'utiliser correctement ici

    ▶ Double clique sur RSIT.exe pour lancer l'outil.

    ▶ Clique sur 'Continue' à l'écran Disclaimer.

    ▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ▶ Une fois le scan fini , 2 rapports vont apparaitre. ▶ Héberge le contenu des 2 rapports.

    ( C:\RSIT\log.txt et C:\RSIT\info.txt )

    CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

    Petite chose à faire pour les rapports générés par RSIT avant de continuer

    ▶ Vous devez fusionner les deux rapports.
    ▶ C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt dans un bloc note pour ne faire qu'un seul rapport.
    ▶ Ensuite enregistrer le rapport log.txt.

    Ensuite :

    ▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

    ▶ Cliquez sur parcourir, puis sur créer le lien cjoint

    ▶ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
    0
  2. mikou
     
    tout d'abord merci de t'intéresser a mon problème.
    ensuite voici le lien pour le log: http://www.cijoint.fr/cjlink.php?file=cj200908/cij8Zmw3KB.txt

    encore merci
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. mikou
     
    le premier lien ne va pas j'ai fait une mauvaise manip' avec le copier/ coller donc rien n'était a sa place voilà le lien avec le bon rapport: http://www.cijoint.fr/cjlink.php?file=cj200908/cijWyv6XAQ.txt

    j'ai du renommer en log2 sous peine de ne pas pouvoir le poster.

    dans l'attente de te lire...
    0
  5. Alfred
     
    bonjours,

    Les 2 liens sont bons.
    Le 1er c'est le rapport info.txt et le 2ième Log.txt.
    Soit les rapports que vous a demandez Pimprenelle27.
    0
  6. mikou
     
    merci mais je devais fusionner les deux rapport (pour n'en faire qu'un) le second comporte les deux log pas le premier ,d'ou le deuxieme lien.;)
    0
  7. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour mikou,

    Je vois que ta version d'xp n'est pas légale c'est quoi ça :

    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    0
  8. Alfred
     
    re,

    Avec NLite.
    Si c'est fait sur un PC de marque avec version windows pré-installé, alors c'est légal !
    En plus y des mises à jours de faites, donc licence unique .
    0
  9. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    non si c'était un version légale avec licence, il ne devrait pas y avoir ça.
    0
  10. Alfred
     
    J'ai une version pré-installé de windows.
    Avec laquelle j'avais créé un CD de démarrage avec NLite et >> ces lignes y étaient.

    Ne sont nécessaire que pour le premier démarrage après installation, par la suite peuvent supprimées.
    0
  11. mikou
     
    bonjour

    si je savais se que c'est je ne demanderais pas d'aide :).
    alors sa te dit quoi se log?infection ou non?
    0
  12. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Bonjour

    Pour suivre.

    0
  13. mikou
     
    genuine advantage est installé sur ma machine et je n'est jamais eu de problème pour les MAJ.donc je ne sais pas?

    mais je pense quand même que tu sais de quoi tu parles pimprenelle27...
    0
  14. mikou
     
    Je vois que ta version d'xp n'est pas légale c'est quoi ça :

    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

    réponse 1:si je savais se que c'est je ne demanderais pas d'aide :).(humour)
    alors sa te dit quoi se log?infection ou non?

    réponse 2:Genuine advantage est installé sur ma machine et je n'est jamais eu de problème pour les MAJ.donc je ne sais pas?

    mais je pense quand même que tu sais de quoi tu parles pimprenelle27...
    (autrement dit ,tu as peut être raison.)

    POURQUOI DEMANDER A MARIE JE LUI DEMANDE QUOI?

    dans l'attente de te lire.
    0
  15. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Désolé vu les évènements en ce moment je reviendrais demain soir.
    0
  16. mikou27 Messages postés 99 Statut Membre 1
     
    up!!!!!
    0
    1. Utilisateur anonyme
       
      bonjour
      Pimprenelle t'aide toujours ?
      0
  • 1
  • 2
  • 3
  • 4
  • 5