Analyse d'un log Hijackthis
Dougy
Messages postés
452
Statut
Contributeur
-
S!Ri Messages postés 932 Statut Contributeur sécurité -
S!Ri Messages postés 932 Statut Contributeur sécurité -
Bonjour, Bonjour,
J'ai un gros problème. Je suis infecté par un virus que je n'arrive pas a supprimer. Après quelques conseils, voici mon log :
Logfile of HijackThis v1.99.1
Scan saved at 12:11:23, on 13/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Nico\LOCALS~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121237319790
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game19.zylom.servicesalacarte.wanadoo.fr/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2BCD29E-506F-4A2A-A943-C1ACCF1EC37E}: NameServer = 192.168.1.4
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
Merci de vos réponses.
J'ai un gros problème. Je suis infecté par un virus que je n'arrive pas a supprimer. Après quelques conseils, voici mon log :
Logfile of HijackThis v1.99.1
Scan saved at 12:11:23, on 13/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Nico\LOCALS~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121237319790
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game19.zylom.servicesalacarte.wanadoo.fr/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2BCD29E-506F-4A2A-A943-C1ACCF1EC37E}: NameServer = 192.168.1.4
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
Merci de vos réponses.
A voir également:
- Analyse d'un log Hijackthis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Nouveau tag analysé - Forum Huawei
13 réponses
salut,
Lance un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
Démo (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demorav.htm
Lance un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
Démo (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demorav.htm
Le scan RAV vient de finir :
Scan started at 13/07/2005 12:30:54
Scanning memory...
Scanning boot sectors...
Scanning files...
Scanned
============================
Objects: 12073
Directories: 821
Archives: 389
Size(Kb): 1575756
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 21
Par contre, il me semble court. Est ce normal ? J'espere que cela te sera utile.
Merci de tes réponses.
Scan started at 13/07/2005 12:30:54
Scanning memory...
Scanning boot sectors...
Scanning files...
Scanned
============================
Objects: 12073
Directories: 821
Archives: 389
Size(Kb): 1575756
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 21
Par contre, il me semble court. Est ce normal ? J'espere que cela te sera utile.
Merci de tes réponses.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je suis de retour,
Une deconnexion reseau par précaution.
Effectivement, j'avaos bien cliquer sur Scan my PC. Je suis en trai de le recommencer. Je t'envoie le log d'ici qu'il soit finit.
En ce qui concerne le virus, c'est AVG qui me le detecte. Il s'appelle Samsungs.exe Le virus identifié est Worm/Spybot.26.Z
Déja deux reformatages et il revient encore.
J'ai déja fait quelques petites recherches et manipulation mais impossible encore pour moi de l'éradiquer.
Merci de ton aide
Une deconnexion reseau par précaution.
Effectivement, j'avaos bien cliquer sur Scan my PC. Je suis en trai de le recommencer. Je t'envoie le log d'ici qu'il soit finit.
En ce qui concerne le virus, c'est AVG qui me le detecte. Il s'appelle Samsungs.exe Le virus identifié est Worm/Spybot.26.Z
Déja deux reformatages et il revient encore.
J'ai déja fait quelques petites recherches et manipulation mais impossible encore pour moi de l'éradiquer.
Merci de ton aide
Salut
Tu as 2 antivirus installés en même temps.
Désinstalle un des deux. (garde AVG puisqu'il détecte le virus)
et scan ton ordinateur en mode sans echec (f8 au demarrage de l'ordinateur)
a+
Tu as 2 antivirus installés en même temps.
Désinstalle un des deux. (garde AVG puisqu'il détecte le virus)
et scan ton ordinateur en mode sans echec (f8 au demarrage de l'ordinateur)
a+
Bonjour,
Pour le deuxieme scan de RAV :
Scan started at 13/07/2005 14:05:32
Scanning memory...
Scanning boot sectors...
Scanning files...
Scanned
============================
Objects: 11032
Directories: 740
Archives: 352
Size(Kb): 1354117
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 21
Le log ne me parait pas long du tout. Je n'ai que ca.
http://cjoint.com/?hnqiSNSOxe
Meme en cliquant sur My Report, je n'ai que ces données.
Je clique pourtant bien sur Scan My PC
En effet, j'ai deux Antivirus. Je vais garder AVG
Merci de votre aide
Pour le deuxieme scan de RAV :
Scan started at 13/07/2005 14:05:32
Scanning memory...
Scanning boot sectors...
Scanning files...
Scanned
============================
Objects: 11032
Directories: 740
Archives: 352
Size(Kb): 1354117
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 21
Le log ne me parait pas long du tout. Je n'ai que ca.
http://cjoint.com/?hnqiSNSOxe
Meme en cliquant sur My Report, je n'ai que ces données.
Je clique pourtant bien sur Scan My PC
En effet, j'ai deux Antivirus. Je vais garder AVG
Merci de votre aide
re'
Je voulais dire scan ton ordinateur avec AVG en mode sans echec (F8).
reposte un log HijackThis ensuite pour vérification.
a+
Je voulais dire scan ton ordinateur avec AVG en mode sans echec (F8).
reposte un log HijackThis ensuite pour vérification.
a+
Merci,
Je desinstalle Antivir, je reboot en mode sans echec, je scan avec AVG, je fais un log hijackthis et je reviens :d
Merci de ton aide
Je desinstalle Antivir, je reboot en mode sans echec, je scan avec AVG, je fais un log hijackthis et je reviens :d
Merci de ton aide
Voila, desinstallation faite, redémarage sans echec fait, scan fait :
Il me detecte donc :
Samsungs.exe (Spybot\Worm.26.Z)
TFTP1244 (Spybot\Worm.26.Z)
TFTP1724 (Spybot\Worm.26.Z)
TFTP1972 (Spybot\Worm.26.Z)
TFTP 2312 (Spybot\Worm.26.Z)
TFTP272 (Spybot\Worm.26.Z)
Avant, il ne me detectait pas les TFTP mais que le Samsungs.exe. Je connais ces fichiers (TFTP) comme etant les virus.
Voici maintenant mon log Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 16:22:43, on 13/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121237319790
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game19.zylom.servicesalacarte.wanadoo.fr/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2BCD29E-506F-4A2A-A943-C1ACCF1EC37E}: NameServer = 192.168.1.4
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
Merci pour toutes vos aides.
Il me detecte donc :
Samsungs.exe (Spybot\Worm.26.Z)
TFTP1244 (Spybot\Worm.26.Z)
TFTP1724 (Spybot\Worm.26.Z)
TFTP1972 (Spybot\Worm.26.Z)
TFTP 2312 (Spybot\Worm.26.Z)
TFTP272 (Spybot\Worm.26.Z)
Avant, il ne me detectait pas les TFTP mais que le Samsungs.exe. Je connais ces fichiers (TFTP) comme etant les virus.
Voici maintenant mon log Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 16:22:43, on 13/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121237319790
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game19.zylom.servicesalacarte.wanadoo.fr/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2BCD29E-506F-4A2A-A943-C1ACCF1EC37E}: NameServer = 192.168.1.4
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
Merci pour toutes vos aides.
re'
pour moi ton log est clean.
Les fichiers infectés qui sont sur ton disque dur sont certainement dans un répertoire temporaire.
essaie de les effacer en mode sans echec
ou avec Killbox:
http://www.downloads.subratam.org/KillBox.zip
avec Delete on Reboot
a+
pour moi ton log est clean.
Les fichiers infectés qui sont sur ton disque dur sont certainement dans un répertoire temporaire.
essaie de les effacer en mode sans echec
ou avec Killbox:
http://www.downloads.subratam.org/KillBox.zip
avec Delete on Reboot
a+
