A quoi sert hijackthis,comment interpreter?
buducul
Messages postés
4
Statut
Membre
-
buducul Messages postés 4 Statut Membre -
buducul Messages postés 4 Statut Membre -
Bonjour à tous!
J'essaie tant bien que mal à comprendre l'informatique et suis actuellement confronté à des Trojan tels que:
Trojan.dropper.vidro.u
.click.526
.downloader.keevalf
et probablement un virus:
rdsndin.exe
Ils sont tous détectés par bitdefender 8.0 mais à chaque scan je les retrouvent...
En essayant de résoudre mon problème en lisant les forums j'ai découvert
J'essaie tant bien que mal à comprendre l'informatique et suis actuellement confronté à des Trojan tels que:
Trojan.dropper.vidro.u
.click.526
.downloader.keevalf
et probablement un virus:
rdsndin.exe
Ils sont tous détectés par bitdefender 8.0 mais à chaque scan je les retrouvent...
En essayant de résoudre mon problème en lisant les forums j'ai découvert
A voir également:
- A quoi sert hijackthis,comment interpreter?
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Rapport Hijackthis ✓ - Forum Virus
- Entraide Hijackthis ✓ - Forum Virus
- Analyse HiJackThis - Forum Virus
- Raport hijackthis - Forum Virus
1 réponse
salut,
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
a+
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
a+
Voilà le resultat:
Logfile of HijackThis v1.99.1
Scan saved at 14:25:30, on 12/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\Winampa.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\Cel's\Mes documents\BU\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.your-search.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/fr/*http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {220A6CAC-0483-432D-BDAD-175CD99A6FA5} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\RunServices: [Microsoft Legacy Device] trass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.encyclo.wanadoo.fr/JS/tdserver.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17E7DE1A-E636-46E2-B626-E928F7966A2F} (hWebPass Control) - http://www.internetpayant.com/kit/ctrl/hWebPass.ocx
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.cnig.es:8080/N_CNIGWebMap/ACGM/Acgm.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A53FC4-1300-4211-80D1-50548698F542}: NameServer = 69.50.161.130,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{8375F9AB-8F34-46E3-8F30-D9E66DC1D6B2}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{A84F11BB-9AA6-40E6-9BED-2B72BEC9EE3E}: NameServer = 69.50.161.130,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD09348C-BF2F-47AB-86AA-278D79510E2B}: NameServer = 69.50.161.130,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5787C91-F541-4036-82BA-9ADEBE162285}: NameServer = 69.50.161.130,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A53FC4-1300-4211-80D1-50548698F542}: NameServer = 69.50.161.130,85.255.112.5
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O19 - User stylesheet: (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
Je ne suis pas sur d'avoir bien envoyer le scan hijackthis.
Peux tu me confirmer que tu as bien reçu.
Merci
//-----------------------------------------------------------------
//
// Product: BitDefender 8 Professional Plus
// Version: 8.0
//
// Créé le: 12/09/2005 15:22:31
//
//-----------------------------------------------------------------
Statistiques
Chemin cible: C:\
C:\Documents and Settings\utilisateur\Mes documents
C:\Documents and Settings\utilisateur\Bureau\cedric
C:\Documents and Settings\utilisateur\Bureau\cidou
Dossiers : 3954
Fichiers : 372990
Archives : 2574
Fichiers empaquetés : 56578
Virus trouvés : 2
Fichiers infectés : 7
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers copiés : 0
Fichiers déplacés : 0
Fichiers renommés : 0
Erreurs I/O : 37
Temps d'analyse := 01:21:54
Fichiers/seconde :75
Définitions virus : 201079
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1
Options d'analyse
Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie
Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;
Action
Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action
Seconde action
[ ] Ignorer
[ ] Effacer
[ ] Copier
[X] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action
Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant
Sommaire :
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP216\A0053734.exe=>(NSIS o)=>zlib_nsis0002 Infectés avec Trojan.Downloader.Keenval.F
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP216\A0053734.exe=>(NSIS o)=>zlib_nsis0002 Désinfection impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP216\A0053734.exe=>(NSIS o)=>zlib_nsis0002 Déplacement impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054682.EXE=>(RAR Sfx o)=>DDCONFIG.EXE Infectés avec Win95.Marburg.8590.A
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054682.EXE=>(RAR Sfx o)=>DDCONFIG.EXE Désinfection impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054682.EXE=>(RAR Sfx o)=>DDCONFIG.EXE Déplacement impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054682.EXE=>(RAR Sfx o)=>DD_CD.EXE Infectés avec Win95.Marburg.8590.A
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054682.EXE=>(RAR Sfx o)=>DD_CD.EXE Désinfection impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054682.EXE=>(RAR Sfx o)=>DD_CD.EXE Déplacement impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054682.EXE=>(RAR Sfx o)=>NETONLY.EXE Infectés avec Win95.Marburg.8590.A
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054682.EXE=>(RAR Sfx o)=>NETONLY.EXE Désinfection impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054682.EXE=>(RAR Sfx o)=>NETONLY.EXE Déplacement impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054683.EXE=>(RAR Sfx o)=>DDCONFIG.EXE Infectés avec Win95.Marburg.8590.A
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054683.EXE=>(RAR Sfx o)=>DDCONFIG.EXE Désinfection impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054683.EXE=>(RAR Sfx o)=>DDCONFIG.EXE Déplacement impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054683.EXE=>(RAR Sfx o)=>DD_CD.EXE Infectés avec Win95.Marburg.8590.A
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054683.EXE=>(RAR Sfx o)=>DD_CD.EXE Désinfection impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054683.EXE=>(RAR Sfx o)=>DD_CD.EXE Déplacement impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054683.EXE=>(RAR Sfx o)=>NETONLY.EXE Infectés avec Win95.Marburg.8590.A
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054683.EXE=>(RAR Sfx o)=>NETONLY.EXE Désinfection impossible
C:\System Volume Information\_restore{A68DCC67-9D20-444F-A8C8-4114C160D6CC}\RP217\A0054683.EXE=>(RAR Sfx o)=>NETONLY.EXE Déplacement impossible