Hijackthis : une question svp !
aranjuez31 Messages postés 8161 Date d'inscription Statut Contributeur -
suite à vos conseils : j'ouvre un poste afin de mieux ...
me perfectionner quoi !
concernant "la methode à suivre" pour l'analyse des divers rapports qui sont demandé ...
jusqu'à present, pour les hijackthis, je regardais sur leur site et faisais une ptite evaluation, mais c'était juste pour regarder, je n'ai jamais fait fixés de lignes ni quoi que ce soit ...
pour ce log par exemple : ( c'est l'un de mes patiens actules lol ! )
pour + de détail :
http://www.commentcamarche.net/forum/affich-2056733-probleme-avec-xp-et-red%E9marrage#2006-02-05%2017%3A17%3A06
Logfile of HijackThis v1.99.1
Scan saved at 17:15:21, on 05/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Music Manager\OD2State.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\ANTOINE\Bureau\freeware\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CECFAFCD-8011-4330-8D8E-7F5960151AEE}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.ex
comment le faire parler celui-là ???
votre dévouée GD
29 réponses
- 1
- 2
L'objectif est d'apprendre à analyser un log HijackThis et à suivre une méthode fiable pour évaluer les rapports demandés, afin d'identifier les éléments potentiellement problématiques sur Windows. Des recommandations pratiques apparaissent, notamment exécuter sfc /scannow pour vérifier les fichiers système, renforcer la sécurité avec un pare-feu et des outils anti-malware, et demander des précisions sur le log lorsque nécessaire. Plusieurs intervenants envisagent que ce poste sert aussi à l'apprentissage mutuel et au partage de ressources, avec des liens vers des tutoriels et des conseils pour identifier les éléments à surveiller.
-
bonsoir green :))
des soucis d'identification ??
remarque moi aussi, je vois pas grand chose dans le log ....
problème technique ?
un max d'infos nécessaires --> message d'erreur ? , installation de nouveau matériel, nouveau log ?
tu peux faire un sfc /scannow : démarrer --> exécuter --> sfc /scannow
pour vérifier les fichiers système .... voir ici le détail :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/2a2ba2f1-11ab-46ba-bec3-945b0b4cbf5f.mspx
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur -
Hello :)
Perso je ne vois rien de spécial dans son log...
Il faudrait lui demander ce qu'il a comme protection à part son antivirus.
S'il n'a rien d'autre, dit lui de télécharger :
Microsoft AntiSpyware :
http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31195.html
Ewido Security Suite :
http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31851.html
S'il n'en a pas, dis lui de télécharger un firewall.
Par exemple, la version GRATUITE de ZoneAlarm® : http://www.zonelabs.com/store/content/company/products/znalm/freeDownload2.jsp?dc=34std&ctry=FR&lang=fr
Tutorial là : http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/securite/tutorial_zonealarm-323293/messages-1.html
Bon courage :)
++ -
Salut JP, salut Kris !
alors tout d'abord merci de vos reponses :-)
mais comment faut il faire pour "diagnostiquer" ???
gracié mil
;-) -
re-
ben ....bonne question :))
rien ne vaut l'apprentissage :)) on finit par voir ce qui ne va pas dans un log ...
Déjà tu peux presque à coup sur éliminer les logs "légitimes" (sauf cas particulier) qui sont dans \program files\ et qu'on retrouve dans les 04
si quelqu'un peut te renseigner efficacement, c'est regis59 ou moe31 ...
tu as aussi un tuto sur le hijackthis ici :
ça t'explique un peu le "mécanisme"
http://www.zebulon.fr/articles/analyse-rapports-hijack-this-1.php
bonne soirée, y a de quoi lire :))
et pour le reste, y a google .....
sérieux, tu peux aller ici :
http://www.bleepingcomputer.com/startups/winsystem.exe-6537.html
ou
http://www.spywaredata.com/spyware/search/index.php
pour vérifier si un .exe .dll est "classé" dangeureux ou légitime
bref, de l'info, encore de l'info .....
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Salut les informaticien(nes) :)
Pour analyser les processus, j'utilise ces sites :
http://www.processlibrary.com/
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.neuber.com/taskmanager/process/
Pour analyser les Toolbar j'utilise :
http://castlecops.com/CLSID.html
Pour analyser les O23 j'utiliser :
http://castlecops.com/O23.html
Pour les 010, si elles sont bel et bien présente (Pirates de Winsock) il faut utiliser LSPFix
Pour les 020 souvent mais toutefois à vérifier avant (sur google par exemple) et bien tu as une infection de type look2me, il faudra alors télécharger l2mfix.exe etc.
SmitfraudFix est très intéressant également...
En fait, regarde les interventions des pro Moe31, balltrap, Regis et compagnie et, avec le temps, tu progresseras :)
Bonne chance ^^
++-
Pour analyser les Toolbar j'utilise :
http://castlecops.com/CLSID.html il est en Anglais c'est ch***ça!!!
-
-
Salut,
Dans un premier temps, le mieux est de connaitre a quoi correspond les lignes dans hijack this:
http://www.zebulon.fr/articles/HijackThis.php
Ensuite, sur ce site, tu peux analyser chaque ligne d hijack this, suffit de selectionner la categorie dans la colonne de gauche:
http://castlecops.com
Il est tres utile de connaitre ceci, savoir au moins ce qu il peut detecter:
http://siri.urz.free.fr/Fix/ChangeLog.php
Voila pour commencer, si tu as une question, je peux y repondre sans problemes ;-)
N'hesites surtout pas si t as besoin d'explications.
a+
-
Merci pour vos reponse !!!
j'apprecis vraimant !!!
ça va être pour plus tard je pense parceque à l'heure actuel des choses, je sais pas si demain je serai encore parmis vous, ou parmis les vivants pour faire simple 8-S
j'ai besion d'un pti coup de main dans le forum internet, si vous avez une idée ... ( suite à une très grave erreur de débutante !!!!!!!!!)
merci pour tout !
@+ ( enfin j'espère lol ! ) -
suite à une très grave erreur de débutante !!!!!!!!!
MAISKESTAFééééééééééééééééééé !!!! -
Merci Kristopher et Régis ces liens sont les bienvenus !!
Je vais me pencher sur le Hijack...
Merci
;-) -
marie tu as fini de crier a ces femmes
bisousssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss -
salut
non une a la fois seulement et surtout ne pas se contenter de regarder si c est mauvais ou non bien lire se qui est a droite -
Oki merci Balltrap...
;-) -
ça à l'aire d'être revenu à la normale ...
merci pour vos info !!! ( d'ici peu, ça va pleuvoir de questions ... )
buenas noches para todo el mundo !
GY
;-) -
d'ici peu, ça va pleuvoir de questions ...
On s'en pose déja ....
;-)
-
re-
tiens green, pour ton petit déjeuner regarde ici pour voir une infection :
http://www.commentcamarche.net/forum/affich-2077955-%5Bbarre-d-outil-Lop%5D-comment-l-enlever
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur -
Bonsoir green day,
Coucou aux autres,
Tu as de la chance green day, je voudrais être à ta place en compagnie de "gros calibres" de CCM.
J'ai cru comprendre que tu réclamais de la lecture ,de la bonne. (en tenant compte que tout évolue)
Vas voir là:<http://gerard.melone.free.fr/IT/IT-HJT0.html#r>
Et là :<http://forum.pcastuces.com/sujet.asp?SUJET_ID=158663> (par copier/coller ).
Mais en finale un conseil est souvent le bienvenu.
Bon courage , et merci pour ton topic. -
bsr tt le monde
je puise aussi qques infos ici
http://users.skynet.be/BernieClub/index.html#pourquoi -
Salut a tous,
Je penses que ce poste peut permettre d apprendre certaines choses, non? Je proposes uniquement.
Si Green day, Kristopher ou encore afideg souhaites ou ont des questions pour apprendre certaines petites choses, autant s'entraider ici.
Non?
a+-
-
Slt Régis,
Je penses que ce poste peut permettre d apprendre certaines choses, non?
D'accord avec toi !
Si Green day, Kristopher ou encore afideg souhaites ou ont des questions pour apprendre certaines petites choses, autant s'entraider ici.
Ou moi ....(à mon avis j'en aurai des questions...) lol
@+ ;-)
-
-
Ecoute Marie, si Afideg a besoin de moi, dis lui de me contacter personnellement, ok? Je verrais ce que je peux faire pour lui.
-
C'est grave de ne pas le voir par soi meme. C'est trop facile de dire mais que se passe t il sans regarder ce qu'on a fait? tu crois pas? Enfin bref, c'est pas le lieu pour parler de ca, de toute maniere, a quoi bon le faire?
Renvois moi uniquement ce qu'il veut.
- 1
- 2