Analyse log Hijackthis

Résolu
xav830610 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention   -  
xav830610 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

j'ai l'impression de connaître un pb assez répandu d'impossibilité d'ouverture du poste de travail.
J'ai fait une analyse ewido et bitdefender online.
Puis une analyse hijackthis dont voici le log. Quelqu'un peut-il me conseiller sur les éléments à supprimer ? Merci beaucoup !

Logfile of HijackThis v1.99.1
Scan saved at 11:28:32, on 23/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\AVWLPSTA.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA PREMIER\ECB-PREM.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Xavier\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AVWLPSTA.EXE] AVWLPSTA.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [eCarteBleue-PREM] "C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA PREMIER\ECB-PREM.exe" /dontopenmycards
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?75602ac53c1a4485ae400b8106af5a8a
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?75602ac53c1a4485ae400b8106af5a8a
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAF7EBBF-D1D5-4CF4-A311-D5BE85C0B72D}: NameServer = 84.103.237.145 86.64.145.145
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Blue Coat K9 Web Protection (WebFilter) - Unknown owner - C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
Configuration: pentium 4 1.5 ghz
windows XP SP2

11 réponses

  1. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    slt,

    télécharge ceci :

    1)http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

    2) Dézippe-le (clic droit dessus > extraire tout)
    et lance lopxp.bat

    Copies et colles le rapport ici.

    A+
    0
  2. xav830610 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour, voici ce que ça donne :

    Rapport fait à 10:53:16,95 le 24/09/2006

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 5887-00BA

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    16/09/2006 00:15 <REP> Adobe
    15/09/2006 23:47 <REP> Windows Genuine Advantage
    15/09/2006 19:17 <REP> Windows Live Toolbar
    10/09/2006 22:00 62 desktop.ini
    10/09/2006 21:59 <REP> Microsoft
    10/09/2006 21:59 <REP> ..
    10/09/2006 21:59 <REP> .
    1 fichier(s) 62 octets
    6 R‚p(s) 31879585792 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 5887-00BA

    R‚pertoire de C:\Documents and Settings\Augustin

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 5887-00BA

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    10/09/2006 22:00 62 desktop.ini
    10/09/2006 21:59 <REP> ..
    10/09/2006 21:59 <REP> Microsoft
    10/09/2006 21:59 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 31879581696 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 5887-00BA

    R‚pertoire de C:\Documents and Settings\Gauthier\Application Data

    16/09/2006 12:49 <REP> Identities
    16/09/2006 12:49 62 desktop.ini
    16/09/2006 12:49 <REP> Microsoft
    16/09/2006 12:49 <REP> ..
    16/09/2006 12:49 <REP> .
    1 fichier(s) 62 octets
    4 R‚p(s) 31879581696 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 5887-00BA

    R‚pertoire de C:\Documents and Settings\Geoffroy\Application Data

    17/09/2006 16:03 0 wklnhst.dat
    16/09/2006 17:40 <REP> Macromedia
    16/09/2006 16:03 <REP> Talkback
    16/09/2006 16:03 <REP> Mozilla
    16/09/2006 16:03 <REP> Thunderbird
    11/09/2006 13:00 <REP> Identities
    11/09/2006 12:59 62 desktop.ini
    11/09/2006 12:59 <REP> Microsoft
    11/09/2006 12:59 <REP> .
    11/09/2006 12:59 <REP> ..
    2 fichier(s) 62 octets
    8 R‚p(s) 31879581696 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 5887-00BA

    R‚pertoire de C:\Documents and Settings\Perrine\Application Data

    23/09/2006 16:04 <REP> Canon
    20/09/2006 13:50 2508 $_hpcst$.hpc
    18/09/2006 17:32 <REP> Macromedia
    18/09/2006 09:28 <REP> Mozilla
    13/09/2006 18:15 0 wklnhst.dat
    13/09/2006 16:33 <REP> Identities
    13/09/2006 16:33 62 desktop.ini
    13/09/2006 16:33 <REP> ..
    13/09/2006 16:33 <REP> .
    13/09/2006 16:33 <REP> Microsoft
    3 fichier(s) 2570 octets
    7 R‚p(s) 31879581696 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 5887-00BA

    R‚pertoire de C:\Documents and Settings\Xavier\Application Data

    18/09/2006 16:32 <REP> Canon
    17/09/2006 19:14 <REP> Sun
    16/09/2006 12:46 2508 $_hpcst$.hpc
    16/09/2006 00:06 0 dm.ini
    16/09/2006 00:06 869 AdobeDLM.log
    15/09/2006 22:37 <REP> FotoWire
    15/09/2006 22:11 <REP> Talkback
    15/09/2006 22:11 <REP> Thunderbird
    15/09/2006 22:08 <REP> Mozilla
    15/09/2006 19:18 <REP> Macromedia
    15/09/2006 18:56 <REP> Help
    12/09/2006 17:00 0 wklnhst.dat
    10/09/2006 22:13 <REP> Adobe
    10/09/2006 22:13 <REP> InterTrust
    10/09/2006 21:44 <REP> Microsoft Web Folders
    10/09/2006 21:26 <REP> Identities
    10/09/2006 21:26 62 desktop.ini
    10/09/2006 21:26 <REP> ..
    10/09/2006 21:26 <REP> .
    10/09/2006 21:26 <REP> Microsoft
    5 fichier(s) 3439 octets
    15 R‚p(s) 31879577600 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 5887-00BA

    R‚pertoire de C:\WINDOWS\Tasks

    15/09/2006 19:17 358 Check Updates for Windows Live Toolbar.job
    10/09/2006 21:17 6 SA.DAT
    10/09/2006 21:14 65 desktop.ini
    10/09/2006 21:14 <REP> ..
    10/09/2006 21:14 <REP> .
    3 fichier(s) 429 octets
    2 R‚p(s) 31ÿ879ÿ577ÿ600 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************
    0
  3. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Ok c'est clean !

    Pour vérifier, scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) :

    http://www.bitdefender.fr/bd/site/search.php#

    Clique sur « scan on line » suis les instructions.

    Et colle le rapport

    A+
    0
  4. xav830610 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour,

    j'habite Toulon et je travaille à Brest pendant la semaine. Je lancerai la manip de scan online vendredi soir ou samedi prochain...

    Merci pour tout.

    A bientôt.
    0
    1. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
       
      Ok !

      A+ ;-)
      --
              • Have a good day
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. xav830610 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour,
    Je suis de retour et voilà ce que donne l'analyse bit defender online :

    BitDefender Online Scanner - Rapport virus en temps réel

    Généré à: Sun, Oct 01, 2006 - 21:18:27
    Info d'analyse
    Fichiers scannés 216241
    Infectés Fichiers 1 Virus Détectés

    Trojan.Spy.Countof.B 1

    Visiblement, j'ai chopé quelquechose...

    A bientôt et merci.
    0
  7. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Ou en sont tes probs ?

    A+
    0
  8. xav830610 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    J'ai dû rater un truc... C'est quoi les probs ?

    A bientôt.
    0
  9. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    j'ai l'impression de connaître un pb assez répandu d'impossibilité d'ouverture du poste de travail.
    J'ai fait une analyse ewido et bitdefender online.
    Puis une analyse hijackthis dont voici le log. Quelqu'un peut-il me conseiller sur les éléments à supprimer ? Merci beaucoup !


    ....

    ;-)
    0
  10. xav830610 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    Ok, je comprend enfin (un peu lent à la détente...) : probs = problèmes (et non probabilités ou qq chose comme ça...).

    Il n'y a pas eu grand chose la semaine dernière vu que mon antenne wifi était cassée. Donc pas de connexion internet, donc pas de pb.

    Je vais voir ce que ça donne le WE prochain...

    A bientôt.
    0
  11. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Ok !

    a+
    0
  12. xav830610 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour,
    je suis de retour.
    La problème persistait, mais il semblerait que ça venait quand un de mes enfants se connectait sur sa session : une petite fenêtre carrée "error" apparaissait, impossible de la faire disparaitre et à partir de là plus possible d'ouvrir le poste de travail ou le panneau de configuration.
    Obligé d'exécuter fixwareout pour récupérer la main.

    J'ai supprimé sa session pour ne plus être embêter, ca à l'air de mieux marcher. J'ai fait un scan online bit defender, il y avait un trojan qui a été supprimé. J'ai lancé ewido ensuite qui a trouvé : C:\WINDOWS\system32\qdnivpvk.dll -> Trojan.BHO.g : Cleaned with backup (quarantined).

    Voilà pour cette fois, à bientôt.
    0