Hijackthis : une question svp !

green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -  
aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur -
Bonjour bonjour !

suite à vos conseils : j'ouvre un poste afin de mieux ...
me perfectionner quoi !

concernant "la methode à suivre" pour l'analyse des divers rapports qui sont demandé ...

jusqu'à present, pour les hijackthis, je regardais sur leur site et faisais une ptite evaluation, mais c'était juste pour regarder, je n'ai jamais fait fixés de lignes ni quoi que ce soit ...

pour ce log par exemple : ( c'est l'un de mes patiens actules lol ! )

pour + de détail :

http://www.commentcamarche.net/forum/affich-2056733-probleme-avec-xp-et-red%E9marrage#2006-02-05%2017%3A17%3A06

Logfile of HijackThis v1.99.1
Scan saved at 17:15:21, on 05/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Music Manager\OD2State.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\ANTOINE\Bureau\freeware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CECFAFCD-8011-4330-8D8E-7F5960151AEE}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.ex

comment le faire parler celui-là ???

votre dévouée GD

29 réponses

  • 1
  • 2
Résumé de la discussion

L'objectif est d'apprendre à analyser un log HijackThis et à suivre une méthode fiable pour évaluer les rapports demandés, afin d'identifier les éléments potentiellement problématiques sur Windows. Des recommandations pratiques apparaissent, notamment exécuter sfc /scannow pour vérifier les fichiers système, renforcer la sécurité avec un pare-feu et des outils anti-malware, et demander des précisions sur le log lorsque nécessaire. Plusieurs intervenants envisagent que ce poste sert aussi à l'apprentissage mutuel et au partage de ressources, avec des liens vers des tutoriels et des conseils pour identifier les éléments à surveiller.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jpdeclermont Messages postés 1792 Statut Membre 382
     
    bonsoir green :))

    des soucis d'identification ??
    remarque moi aussi, je vois pas grand chose dans le log ....

    problème technique ?
    un max d'infos nécessaires --> message d'erreur ? , installation de nouveau matériel, nouveau log ?

    tu peux faire un sfc /scannow : démarrer --> exécuter --> sfc /scannow
    pour vérifier les fichiers système .... voir ici le détail :
    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/2a2ba2f1-11ab-46ba-bec3-945b0b4cbf5f.mspx

    -------------------------------
    ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
    0
  2. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Hello :)

    Perso je ne vois rien de spécial dans son log...

    Il faudrait lui demander ce qu'il a comme protection à part son antivirus.
    S'il n'a rien d'autre, dit lui de télécharger :

    Microsoft AntiSpyware :
    http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31195.html

    Ewido Security Suite :
    http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31851.html

    S'il n'en a pas, dis lui de télécharger un firewall.
    Par exemple, la version GRATUITE de ZoneAlarm® : http://www.zonelabs.com/store/content/company/products/znalm/freeDownload2.jsp?dc=34std&ctry=FR&lang=fr
    Tutorial là : http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/securite/tutorial_zonealarm-323293/messages-1.html

    Bon courage :)

    ++
    0
    1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
       
      Ben kris
      il a un pare-feu !
      0
  3. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut JP, salut Kris !

    alors tout d'abord merci de vos reponses :-)

    mais comment faut il faire pour "diagnostiquer" ???

    gracié mil

    ;-)
    0
  4. jpdeclermont Messages postés 1792 Statut Membre 382
     
    re-

    ben ....bonne question :))
    rien ne vaut l'apprentissage :)) on finit par voir ce qui ne va pas dans un log ...
    Déjà tu peux presque à coup sur éliminer les logs "légitimes" (sauf cas particulier) qui sont dans \program files\ et qu'on retrouve dans les 04

    si quelqu'un peut te renseigner efficacement, c'est regis59 ou moe31 ...

    tu as aussi un tuto sur le hijackthis ici :
    ça t'explique un peu le "mécanisme"
    http://www.zebulon.fr/articles/analyse-rapports-hijack-this-1.php

    bonne soirée, y a de quoi lire :))

    et pour le reste, y a google .....
    sérieux, tu peux aller ici :
    http://www.bleepingcomputer.com/startups/winsystem.exe-6537.html
    ou
    http://www.spywaredata.com/spyware/search/index.php

    pour vérifier si un .exe .dll est "classé" dangeureux ou légitime

    bref, de l'info, encore de l'info .....

    -------------------------------
    ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Salut les informaticien(nes) :)

    Pour analyser les processus, j'utilise ces sites :

    http://www.processlibrary.com/
    http://www.liutilities.com/products/wintaskspro/processlibrary/
    http://www.neuber.com/taskmanager/process/

    Pour analyser les Toolbar j'utilise :
    http://castlecops.com/CLSID.html

    Pour analyser les O23 j'utiliser :
    http://castlecops.com/O23.html

    Pour les 010, si elles sont bel et bien présente (Pirates de Winsock) il faut utiliser LSPFix

    Pour les 020 souvent mais toutefois à vérifier avant (sur google par exemple) et bien tu as une infection de type look2me, il faudra alors télécharger l2mfix.exe etc.

    SmitfraudFix
    est très intéressant également...

    En fait, regarde les interventions des pro Moe31, balltrap, Regis et compagnie et, avec le temps, tu progresseras :)

    Bonne chance ^^

    ++
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Pour analyser les Toolbar j'utilise :
      http://castlecops.com/CLSID.html
      il est en Anglais c'est ch***ça!!!
      0
  7. Utilisateur anonyme
     
    Salut,

    Dans un premier temps, le mieux est de connaitre a quoi correspond les lignes dans hijack this:
    http://www.zebulon.fr/articles/HijackThis.php

    Ensuite, sur ce site, tu peux analyser chaque ligne d hijack this, suffit de selectionner la categorie dans la colonne de gauche:
    http://castlecops.com

    Il est tres utile de connaitre ceci, savoir au moins ce qu il peut detecter:
    http://siri.urz.free.fr/Fix/ChangeLog.php

    Voila pour commencer, si tu as une question, je peux y repondre sans problemes ;-)
    N'hesites surtout pas si t as besoin d'explications.

    a+
    0
  8. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Merci pour vos reponse !!!

    j'apprecis vraimant !!!

    ça va être pour plus tard je pense parceque à l'heure actuel des choses, je sais pas si demain je serai encore parmis vous, ou parmis les vivants pour faire simple 8-S

    j'ai besion d'un pti coup de main dans le forum internet, si vous avez une idée ... ( suite à une très grave erreur de débutante !!!!!!!!!)

    merci pour tout !

    @+ ( enfin j'espère lol ! )
    0
  9. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    suite à une très grave erreur de débutante !!!!!!!!!

    MAISKESTAFééééééééééééééééééé !!!!
    0
  10. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Merci Kristopher et Régis ces liens sont les bienvenus !!

    Je vais me pencher sur le Hijack...

    Merci

    ;-)
    0
    1. Kristopher Messages postés 3752 Statut Contributeur 106
       
      De rien séb :)

      Néanmoins, sache que ce n'était qu'une partie des liens que j'utilise.
      En vrai, il y en a beaucoup plus que cela ^^

      Si tu as des questions, n'hésites pas.

      ++
      0
      1. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430 > Kristopher Messages postés 3752 Statut Contributeur
         
        Merci Kristopher après c'est une question de vitesse ..
        On peut analyser plusieurs lignes à la fois ? (pour gagner du temps...)


        Simple question ... ;-)
        0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    marie tu as fini de crier a ces femmes
    bisousssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssssss
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    non une a la fois seulement et surtout ne pas se contenter de regarder si c est mauvais ou non bien lire se qui est a droite
    0
  13. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Oki merci Balltrap...

    ;-)
    0
  14. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    ça à l'aire d'être revenu à la normale ...

    merci pour vos info !!! ( d'ici peu, ça va pleuvoir de questions ... )

    buenas noches para todo el mundo !

    GY

    ;-)
    0
  15. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    d'ici peu, ça va pleuvoir de questions ...

    On s'en pose déja ....

    ;-)
    0
  16. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir green day,
    Coucou aux autres,
    Tu as de la chance green day, je voudrais être à ta place en compagnie de "gros calibres" de CCM.
    J'ai cru comprendre que tu réclamais de la lecture ,de la bonne. (en tenant compte que tout évolue)
    Vas voir là:<http://gerard.melone.free.fr/IT/IT-HJT0.html#r>
    Et là :<http://forum.pcastuces.com/sujet.asp?SUJET_ID=158663> (par copier/coller ).
    Mais en finale un conseil est souvent le bienvenu.
    Bon courage , et merci pour ton topic.
    0
  17. Utilisateur anonyme
     
    Salut a tous,

    Je penses que ce poste peut permettre d apprendre certaines choses, non? Je proposes uniquement.
    Si Green day, Kristopher ou encore afideg souhaites ou ont des questions pour apprendre certaines petites choses, autant s'entraider ici.

    Non?

    a+
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      regis59, je me permet de te remercier spécialement pour Afideg !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
      Bien à toi

      ps : Pas cours aujourd'hui???
      0
    2. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
       
      Slt Régis,

      Je penses que ce poste peut permettre d apprendre certaines choses, non?

      D'accord avec toi !


      Si Green day, Kristopher ou encore afideg souhaites ou ont des questions pour apprendre certaines petites choses, autant s'entraider ici.



      Ou moi ....(à mon avis j'en aurai des questions...) lol


      @+ ;-)

      0
  18. Utilisateur anonyme
     
    Ecoute Marie, si Afideg a besoin de moi, dis lui de me contacter personnellement, ok? Je verrais ce que je peux faire pour lui.
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Je t'ai fait passer ses courriers.................
      Mais comme tu as pris le bourdon!!!!!!!!!!!!!!! Pourquoi ? mystère à boule de gomme ???
      A+
      0
  19. Utilisateur anonyme
     
    C'est grave de ne pas le voir par soi meme. C'est trop facile de dire mais que se passe t il sans regarder ce qu'on a fait? tu crois pas? Enfin bref, c'est pas le lieu pour parler de ca, de toute maniere, a quoi bon le faire?

    Renvois moi uniquement ce qu'il veut.
    0
  • 1
  • 2