Sujet Précédent Sujet Suivant

Hijackthis : une question svp !

green day Messages postés 26722 Statut Modérateur, Contributeur sécurité -  
aranjuez31 Messages postés 8069 Statut Contributeur -
Bonjour bonjour !

suite à vos conseils : j'ouvre un poste afin de mieux ...
me perfectionner quoi !

concernant "la methode à suivre" pour l'analyse des divers rapports qui sont demandé ...

jusqu'à present, pour les hijackthis, je regardais sur leur site et faisais une ptite evaluation, mais c'était juste pour regarder, je n'ai jamais fait fixés de lignes ni quoi que ce soit ...

pour ce log par exemple : ( c'est l'un de mes patiens actules lol ! )

pour + de détail :

http://www.commentcamarche.net/forum/affich-2056733-probleme-avec-xp-et-red%E9marrage#2006-02-05%2017%3A17%3A06

Logfile of HijackThis v1.99.1
Scan saved at 17:15:21, on 05/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Music Manager\OD2State.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\ANTOINE\Bureau\freeware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CECFAFCD-8011-4330-8D8E-7F5960151AEE}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.ex

comment le faire parler celui-là ???

votre dévouée GD
A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
jpdeclermont Messages postés 1792 Statut Membre 382
 
bonsoir green :))

des soucis d'identification ??
remarque moi aussi, je vois pas grand chose dans le log ....

problème technique ?
un max d'infos nécessaires --> message d'erreur ? , installation de nouveau matériel, nouveau log ?

tu peux faire un sfc /scannow : démarrer --> exécuter --> sfc /scannow
pour vérifier les fichiers système .... voir ici le détail :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/2a2ba2f1-11ab-46ba-bec3-945b0b4cbf5f.mspx

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
0
Réponse 2 / 29
Kristopher Messages postés 3752 Statut Contributeur 106
 
Hello :)

Perso je ne vois rien de spécial dans son log...

Il faudrait lui demander ce qu'il a comme protection à part son antivirus.
S'il n'a rien d'autre, dit lui de télécharger :

Microsoft AntiSpyware :
http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31195.html

Ewido Security Suite :
http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31851.html

S'il n'en a pas, dis lui de télécharger un firewall.
Par exemple, la version GRATUITE de ZoneAlarm® : http://www.zonelabs.com/store/content/company/products/znalm/freeDownload2.jsp?dc=34std&ctry=FR&lang=fr
Tutorial là : http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/securite/tutorial_zonealarm-323293/messages-1.html

Bon courage :)

++
0
aranjuez31 Messages postés 8069 Statut Contributeur 354
 
Ben kris
il a un pare-feu !
0
Réponse 3 / 29
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut JP, salut Kris !

alors tout d'abord merci de vos reponses :-)

mais comment faut il faire pour "diagnostiquer" ???

gracié mil

;-)
0
Réponse 4 / 29
jpdeclermont Messages postés 1792 Statut Membre 382
 
re-

ben ....bonne question :))
rien ne vaut l'apprentissage :)) on finit par voir ce qui ne va pas dans un log ...
Déjà tu peux presque à coup sur éliminer les logs "légitimes" (sauf cas particulier) qui sont dans \program files\ et qu'on retrouve dans les 04

si quelqu'un peut te renseigner efficacement, c'est regis59 ou moe31 ...

tu as aussi un tuto sur le hijackthis ici :
ça t'explique un peu le "mécanisme"
http://www.zebulon.fr/articles/analyse-rapports-hijack-this-1.php

bonne soirée, y a de quoi lire :))

et pour le reste, y a google .....
sérieux, tu peux aller ici :
http://www.bleepingcomputer.com/startups/winsystem.exe-6537.html
ou
http://www.spywaredata.com/spyware/search/index.php

pour vérifier si un .exe .dll est "classé" dangeureux ou légitime

bref, de l'info, encore de l'info .....

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
Kristopher Messages postés 3752 Statut Contributeur 106
 
Salut les informaticien(nes) :)

Pour analyser les processus, j'utilise ces sites :

http://www.processlibrary.com/
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.neuber.com/taskmanager/process/

Pour analyser les Toolbar j'utilise :
http://castlecops.com/CLSID.html

Pour analyser les O23 j'utiliser :
http://castlecops.com/O23.html

Pour les 010, si elles sont bel et bien présente (Pirates de Winsock) il faut utiliser LSPFix

Pour les 020 souvent mais toutefois à vérifier avant (sur google par exemple) et bien tu as une infection de type look2me, il faudra alors télécharger l2mfix.exe etc.

SmitfraudFix est très intéressant également...

En fait, regarde les interventions des pro Moe31, balltrap, Regis et compagnie et, avec le temps, tu progresseras :)

Bonne chance ^^

++
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Pour analyser les Toolbar j'utilise :
http://castlecops.com/CLSID.html il est en Anglais c'est ch***ça!!!
0
Réponse 6 / 29
Utilisateur anonyme
 
Salut,

Dans un premier temps, le mieux est de connaitre a quoi correspond les lignes dans hijack this:
http://www.zebulon.fr/articles/HijackThis.php

Ensuite, sur ce site, tu peux analyser chaque ligne d hijack this, suffit de selectionner la categorie dans la colonne de gauche:
http://castlecops.com

Il est tres utile de connaitre ceci, savoir au moins ce qu il peut detecter:
http://siri.urz.free.fr/Fix/ChangeLog.php

Voila pour commencer, si tu as une question, je peux y repondre sans problemes ;-)
N'hesites surtout pas si t as besoin d'explications.

a+
0
Réponse 7 / 29
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Merci pour vos reponse !!!

j'apprecis vraimant !!!

ça va être pour plus tard je pense parceque à l'heure actuel des choses, je sais pas si demain je serai encore parmis vous, ou parmis les vivants pour faire simple 8-S

j'ai besion d'un pti coup de main dans le forum internet, si vous avez une idée ... ( suite à une très grave erreur de débutante !!!!!!!!!)

merci pour tout !

@+ ( enfin j'espère lol ! )
0
Réponse 8 / 29
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
suite à une très grave erreur de débutante !!!!!!!!!

MAISKESTAFééééééééééééééééééé !!!!
0
Réponse 9 / 29
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
 
Merci Kristopher et Régis ces liens sont les bienvenus !!

Je vais me pencher sur le Hijack...

Merci

;-)
0
Kristopher Messages postés 3752 Statut Contributeur 106
 
De rien séb :)

Néanmoins, sache que ce n'était qu'une partie des liens que j'utilise.
En vrai, il y en a beaucoup plus que cela ^^

Si tu as des questions, n'hésites pas.

++
0
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430 > Kristopher Messages postés 3752 Statut Contributeur
 
Merci Kristopher après c'est une question de vitesse ..
On peut analyser plusieurs lignes à la fois ? (pour gagner du temps...)


Simple question ... ;-)
0
Réponse 10 / 29
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
marie tu as fini de crier a ces femmes
bisousssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
0
Réponse 11 / 29
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
non une a la fois seulement et surtout ne pas se contenter de regarder si c est mauvais ou non bien lire se qui est a droite
0
Réponse 12 / 29
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
 
Oki merci Balltrap...

;-)
0
Réponse 13 / 29
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
ça à l'aire d'être revenu à la normale ...

merci pour vos info !!! ( d'ici peu, ça va pleuvoir de questions ... )

buenas noches para todo el mundo !

GY

;-)
0
Réponse 14 / 29
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
 
d'ici peu, ça va pleuvoir de questions ...

On s'en pose déja ....

;-)
0
Réponse 15 / 29
jpdeclermont Messages postés 1792 Statut Membre 382
 
re-

tiens green, pour ton petit déjeuner regarde ici pour voir une infection :
http://www.commentcamarche.net/forum/affich-2077955-%5Bbarre-d-outil-Lop%5D-comment-l-enlever

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
0
Réponse 16 / 29
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonsoir green day,
Coucou aux autres,
Tu as de la chance green day, je voudrais être à ta place en compagnie de "gros calibres" de CCM.
J'ai cru comprendre que tu réclamais de la lecture ,de la bonne. (en tenant compte que tout évolue)
Vas voir là:<http://gerard.melone.free.fr/IT/IT-HJT0.html#r>
Et là :<http://forum.pcastuces.com/sujet.asp?SUJET_ID=158663> (par copier/coller ).
Mais en finale un conseil est souvent le bienvenu.
Bon courage , et merci pour ton topic.
0
Réponse 17 / 29
aranjuez31 Messages postés 8069 Statut Contributeur 354
 
bsr tt le monde
je puise aussi qques infos ici
http://users.skynet.be/BernieClub/index.html#pourquoi
0
Réponse 18 / 29
Utilisateur anonyme
 
Salut a tous,

Je penses que ce poste peut permettre d apprendre certaines choses, non? Je proposes uniquement.
Si Green day, Kristopher ou encore afideg souhaites ou ont des questions pour apprendre certaines petites choses, autant s'entraider ici.

Non?

a+
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
regis59, je me permet de te remercier spécialement pour Afideg !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Bien à toi

ps : Pas cours aujourd'hui???
0
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
 
Slt Régis,

Je penses que ce poste peut permettre d apprendre certaines choses, non?

D'accord avec toi !


Si Green day, Kristopher ou encore afideg souhaites ou ont des questions pour apprendre certaines petites choses, autant s'entraider ici.



Ou moi ....(à mon avis j'en aurai des questions...) lol


@+ ;-)

0
Réponse 19 / 29
Utilisateur anonyme
 
Ecoute Marie, si Afideg a besoin de moi, dis lui de me contacter personnellement, ok? Je verrais ce que je peux faire pour lui.
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Je t'ai fait passer ses courriers.................
Mais comme tu as pris le bourdon!!!!!!!!!!!!!!! Pourquoi ? mystère à boule de gomme ???
A+
0
Réponse 20 / 29
Utilisateur anonyme
 
C'est grave de ne pas le voir par soi meme. C'est trop facile de dire mais que se passe t il sans regarder ce qu'on a fait? tu crois pas? Enfin bref, c'est pas le lieu pour parler de ca, de toute maniere, a quoi bon le faire?

Renvois moi uniquement ce qu'il veut.
0

Discussions similaires

Analyse des logs hijackthis
philnoug -
nayas13 -

35 réponses
spywar
stephane74 -
stephane74 -

4 réponses
Processus et démarrage
baptcollot -
baptcollot -

4 réponses
Analyse logs hijackthis
embêté -
Utilisateur anonyme -

21 réponses
rapport Hijackthis
kawito33 -
kawito33 -

87 réponses