Analyse Hijackthis s'il vous plaît-merci !

nicolas2 -  
 nicolas2 -
bonsoir tout le monde ! quelqu'un pourrait-il me décoder ce fichier Hijackthis ?..merci beaucoup, à plus tard.

7 réponses

  1. GomJabbar Messages postés 1327 Statut Contributeur 150
     
    Bonjour,
    si tu n'inclus pas le log à ton post, on aura du mal à décoder !

    A+

    - L'éternité c'est très long, surtout vers la fin. -
    - Woody Allen -
    0
  2. nicolas2
     
    désolé, je rame...Logfile of HijackThis v1.97.7
    Scan saved at 01:08:46, on 17/03/04
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAM FILES\FICHIERS COMMUNS\EPSON\EBAPI\SAGENT2.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
    C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
    C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\SYMTRAY.EXE
    C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE
    C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL\PERSFW.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\BROWSER MOUSE\BROWSER MOUSE\1.1\MOUSE32A.EXE
    C:\PROGRAM FILES\SCROLLMOUSE\4DMAIN.EXE
    C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
    C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTTRAYAPP.EXE
    C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\Program Files\Norton SystemWorks\Norton CleanSweep\Monwow.exe
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\POWERARCHIVER\POWERARC.EXE
    C:\WINDOWS\TEMP\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
    O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\ScrollMouse\4DMAIN.EXE -startup
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [Barre d'état système] SysTray.Exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
    O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
    O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Program Files\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
    O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe "Norton SystemWorks"
    O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE
    O4 - HKLM\..\RunServices: [PersFw] "C:\Program Files\Kerio\Personal Firewall\persfw.exe" /hide
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
    O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Program Files\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR2.DLL/cmsearch.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR2.DLL/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR2.DLL/cmsimilar.html
    O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR2.DLL/cmbacklinks.html
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37873.3265046296
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/fr/techsupp/activedata/ActiveData.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
    O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.dll
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = wanadoo.fr
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 193.252.19.3,193.252.19.4

    ouf! j'ai réussi à le mettre où il fallait !..merci de votre patience !
    0
  3. GomJabbar Messages postés 1327 Statut Contributeur 150
     
    Suite...
    A 1ère vue, rien d'inquiétant. La seule remarque que je pourrais faire, c'est le grand nombre de prog (aucun de malin) qui se lancent au démarrage (les lignes qui commencent par 04) et doivent qd même ralentir la machine.
    Sinon, quel est ton pb ?

    A+

    - L'éternité c'est très long, surtout vers la fin. -
    - Woody Allen -
    0
  4. nicolas2
     
    salut et merci de ta réponse : mon problème c'est que mon PC bloque souvent sur des sites (celui d'EON pour updater SPYBOT par exemple), et mes téléchargements sont un peu bizarres, vont se loger ailleurs que là où je les envoie, etc.. donc je pensais avoir peut-être chopé un truc. Ton message me rassure, donc je mets que mon blem est résolu et je vais faire ce que tu suggères pour alléger leprogrammes de démarrage.Encore merci !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Terdef Messages postés 1034 Statut Contributeur sécurité 133
     
    Bonjour,

    C:\PROGRAM FILES\BROWSER MOUSE\BROWSER MOUSE\1.1\MOUSE32A.EXE
    Elle a vraiment besoin d'un pilote cette souris ?

    C:\PROGRAM FILES\SCROLLMOUSE\4DMAIN.EXE (si c'est le gestionnaire de la molette de la souris, il n'y en a pas besoin. Windows gère ça tout seul.

    C:\WINDOWS\LOADQM.EXE
    Vire ça et fait une recherche avec un anti-trojan: C'est une malveillance connue sous le nom de DoS.Win32.Nenet utilisée pour conduire des attaques de type DoS (c'est ta machine qui attaque une autre machine).

    Mais il n'y a pas que ça. Ca veut dire que tu as subit une attaque qui est passée : il y a une faille de sécurité. Fait un Windows update ou, mieux, un Microsoft BSA
    http://assiste.free.fr/p/frameset/02_01.php

    O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
    Il faut désactiver ça impérativement : la notification de mises à jour critique qui est une énorme faille de sécurité sur un système informatique. Elle permet à Microsoft d'installer et d'exécuter du code sans notre consentement et sans le porter à notre connaissance. Elle peut ré-activer des réglages que nous avions inhiber pour cause de sécurité etc. ... Jamais rien ni personne ne doit avoir le droit de faire des trucs sur nos machines automatiquement (sauf les mises à jour des bases de signatures des antivirus). Et tous TOUS les programmes doivent être interdit d'Internet par défaut. Il n'y a aucune, STICTEMENT AUCUNE raison qu'à chaque lancement de l'explorateur de Windows pour me balader SUR MES DISQUES celui se connecte au NET. Dito pour Word Excel etc. ...
    Désactive aussi ActiveX (sauf lorsque tu vas sur Windows Update et désactive aussitôt dès que c'est fini)
    Interdit les iFrames.

    O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
    O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\ScrollMouse\4DMAIN.EXE -startup
    Probablement inutile

    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    Fixer cet exploit

    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    Probablement inutile

    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    Probablement inutile

    Il y a beaucoup trop de trucs lancés - le moniteur de l'imprimante, Adobe Gamma Loader.exe...

    Terdef
    http://assiste.com - http://assiste.free.fr
    0
    1. nicolas2
       
      Merci beaucoup, je fais ce que vous me conseillez, réparation et je reviens faire le point. A demain !
      0
    2. nicolas2
       
      salut Terdef, encore merci de ta réponse. Je débute donc je pige pas tout très vite, désolé...que veux-tu dire par "Fixer cet exploit"? Et comment virer les trucs bizarres, dont "LOADQM.EXE" ? je les ai en .log dans mon Hijackthis, (bloc-notes). Dois-je les virer de la BDR ? si oui, comment ? j'ai les explications données sur http://assist.free.fr, mais je sais pas comment appliquer ces infos, tellement je suis nul. Merci de votre patience, j'attends vos réponses, encore un merci plein de honte..
      0
  7. GomJabbar Messages postés 1327 Statut Contributeur 150
     
    Suite...
    Autant pour moi, pas lu avec assez d'attention. Terdef a raison.

    A+

    - L'éternité c'est très long, surtout vers la fin. -
    - Woody Allen -
    0
  8. Terdef Messages postés 1034 Statut Contributeur sécurité 133
     
    Re nicolas2

    C'est assez simple :

    Commencez par dire à HijackThis de faire des backups (sauvegardes) de votre liste de démarrage en cliquant sur le bouton "Config..." en bas à droite. Dans la fenêtre "Main", la case "Make backups before fixing items" doit être cochée. Les 3 suivantes aussi.

    Cliquez sur le même bouton en bas à droite, qui s'appelle maintenant "Back"

    Maintenant commencez, dans l'ordre, par cocher les cases des malveillances pures, tout ce qui est "certifié", par vous ou par ceux que vous avez consulté sur un forum, comme étant des virus, keylogger, trojans, backdoor etc. ...

    Cliquez sur "Fix Checked"

    Quittez HiJackThis et redémarrez l'ordinateur.

    Travaillez un peu pour voir si tout va bien puis recommencez en ôtant (fixant), un par un les éléments suspects.

    Recommencez enfin avec les éléments inutiles.

    Les plus aguéris ou téméraires peuvent tout fixer en un seul passage.

    Terdef
    http://assiste.com - http://assiste.free.fr
    0
    1. nicolas2
       
      merci Terdef ! je vais faire comme tu dis, mais je ne reviendrai sur le Forum que dans une ou deux samaines, mon ordi portable part en réparation. Encore merci et à très vite ! Cordialement, Nicolas2.
      0