Je comprend rien au log d' hijack this
cachalot
Messages postés
162
Date d'inscription
Statut
Membre
Dernière intervention
-
balltrap34 Messages postés 16240 Date d'inscription Statut Contributeur sécurité Dernière intervention -
balltrap34 Messages postés 16240 Date d'inscription Statut Contributeur sécurité Dernière intervention -
bonjour à tous,
pourriez vous me dire si il y a quelque chose de suspect SVP
je vous remerci d'avance
Logfile of HijackThis v1.97.7
Scan saved at 19:50:28, on 18/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\TrayIcon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\el president\Bureau\hjtlog.exe
c:\hijackthis\hijackthis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = F:\Copernic Agent\Web\SearchBar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - F:\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "F:\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [BearShare] "F:\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SpybotSnD] "F:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - F:\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38111.4228472222
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
pourriez vous me dire si il y a quelque chose de suspect SVP
je vous remerci d'avance
Logfile of HijackThis v1.97.7
Scan saved at 19:50:28, on 18/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\TrayIcon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\el president\Bureau\hjtlog.exe
c:\hijackthis\hijackthis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = F:\Copernic Agent\Web\SearchBar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - F:\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "F:\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [BearShare] "F:\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SpybotSnD] "F:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - F:\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38111.4228472222
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
A voir également:
- Je comprend rien au log d' hijack this
- Hijack this - Télécharger - Antivirus & Antimalwares
- Aide au logement - Guide
- Ti college plus log - Forum calculatrices
- This is the mail system at host ✓ - Forum Mail
- Vpn no log - Forum Réseau
13 réponses
désolé pour l'oubli,
en fait, j'ai pas mal de "non réponse" sur plein de prog (à peu près tous mais pas tout le temps).
de plus, mon pc rame plus qu'avant et j'ai rien trouvé de suspect dans les processus.
je fais des scans et des mises à jours (spybot 1.3, ad-aware 6, antivir personal edition6 et win XP) toutes les semaines.
je vois pas d'où ça peu venir.
merci et encore désolé
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
en fait, j'ai pas mal de "non réponse" sur plein de prog (à peu près tous mais pas tout le temps).
de plus, mon pc rame plus qu'avant et j'ai rien trouvé de suspect dans les processus.
je fais des scans et des mises à jours (spybot 1.3, ad-aware 6, antivir personal edition6 et win XP) toutes les semaines.
je vois pas d'où ça peu venir.
merci et encore désolé
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
Salut
Relance hijack coche et fix ces lignes
O4 - HKLM\..\Run: [BearShare] "F:\BearShare\BearShare.exe" /pause
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialise
F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe
Recherché et supprime ces 2 programmes
F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe
Relance hijack coche et fix ces lignes
O4 - HKLM\..\Run: [BearShare] "F:\BearShare\BearShare.exe" /pause
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialise
F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe
Recherché et supprime ces 2 programmes
F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe
petite question suplémentaire:
si je désinstalle les deux bearshare.exe, est ce que ce logiciel marchera car j'en est besoin pour mon rapport de stage (et oui, tous ceux qui ont ce genre de logiciel ne téléchargent pasque des choses illégales).
merci d'avance pour vos réponses.
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
si je désinstalle les deux bearshare.exe, est ce que ce logiciel marchera car j'en est besoin pour mon rapport de stage (et oui, tous ceux qui ont ce genre de logiciel ne téléchargent pasque des choses illégales).
merci d'avance pour vos réponses.
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Moi je ne vois rien d'anormal dans ton log, et jene comprends pas pourquoi tu devrais fixer ctfmon.exe (http://www.commentcamarche.net/processus/ctfmon-exe.php3)
"el presidente" ? :-D
.::: "A trop vouloir feindre de faire fi, on finit
par faire fi de vouloir feindre." :::.
"el presidente" ? :-D
.::: "A trop vouloir feindre de faire fi, on finit
par faire fi de vouloir feindre." :::.
dis moi flokocha, pourquoi m'a tu écris "el presidente"?
me connaitrais tu??
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
me connaitrais tu??
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
salut,
ctfmon.exe c'est bien un process et pas un virus. Mais si balltrap a dit ça, c'est pour éviter qu'il se lance au démarrage pour que le PC rame moins. Enfin, je pense.
Par contre, ligne 016 House Call, c'est l'activeX de secuser.com pour un scan en ligne, il me semble bien. On peut supprimer, mais il faudra recharger au prochain scan.
ctfmon.exe c'est bien un process et pas un virus. Mais si balltrap a dit ça, c'est pour éviter qu'il se lance au démarrage pour que le PC rame moins. Enfin, je pense.
Par contre, ligne 016 House Call, c'est l'activeX de secuser.com pour un scan en ligne, il me semble bien. On peut supprimer, mais il faudra recharger au prochain scan.
désolé, tu l'as surement lu dans le log.
pour la petite histoire, c'est parce que je fu président d'une assoc étudiante et c'était mon surnom.
mais, pour bearshare, est ce que je peux les effacer ces deux fichier sans altérer le fonctionnement du logiciel??
merci pour tout
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
pour la petite histoire, c'est parce que je fu président d'une assoc étudiante et c'était mon surnom.
mais, pour bearshare, est ce que je peux les effacer ces deux fichier sans altérer le fonctionnement du logiciel??
merci pour tout
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
Oui je l'ai effectivement vu dans une ligne du code !
Pour ce qui est de BearShare, à mon avis tu ne pourras plus l'utiliser si tu le fixes, et je ne vois pas l'intérêt non plus de le fixer.
Encore une fois pour moi ton log ne présente rien d'anormal.
.::: "A trop vouloir feindre de faire fi, on finit
par faire fi de vouloir feindre." :::.
Pour ce qui est de BearShare, à mon avis tu ne pourras plus l'utiliser si tu le fixes, et je ne vois pas l'intérêt non plus de le fixer.
Encore une fois pour moi ton log ne présente rien d'anormal.
.::: "A trop vouloir feindre de faire fi, on finit
par faire fi de vouloir feindre." :::.
ok bah merci c'est gentil de vous occuper de moi :-)))))))))
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
la vie c'est bien, en profiter c'est mieux!!!
<~:~cachalot~:~>
Tu as aussi configuré ad-aware et spybot pour qu'ils se lancent au démarrage. Si le PC rame trop, tu peux le décocher (vas dans leurs options) et les lancer manuellement au moment que tu choisis.Par contre, tu laisses bien ton antivirus se lancer, c'est important.
Dernier truc, j'ai vu sur les forums que, chez certains,Tea Timer alourdit la machine. Pour ma part, je l'ai pas activé.
D'autres pourront t'en dire plus, là dessus certainement.
Dernier truc, j'ai vu sur les forums que, chez certains,Tea Timer alourdit la machine. Pour ma part, je l'ai pas activé.
D'autres pourront t'en dire plus, là dessus certainement.
W32/Blaxe-A est un ver qui se propage via le partage de fichiers sur les réseaux sans serveur.
Lorsqu'il est exécuté pour la première fois, W32/Blaxe-A se copie dans le dossier Windows sous les noms de fichiers BearShare.exe et WinBat.exe et crée dans le registre les entrées suivantes de manière à ce que BearShare.exe soit exécuté automatiquement à chaque démarrage de Windows :
Lorsqu'il est exécuté pour la première fois, W32/Blaxe-A se copie dans le dossier Windows sous les noms de fichiers BearShare.exe et WinBat.exe et crée dans le registre les entrées suivantes de manière à ce que BearShare.exe soit exécuté automatiquement à chaque démarrage de Windows :
BearShare.exe soit exécuté automatiquement à chaque démarrage de Windows :
ce qui est apparament le cas lignes 04
ce qui est apparament le cas lignes 04
Effectivement mais cela ne concerne pas les lignes F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe
De plus il me semble que cela viendrait plutot d'une option présente dans paramètres de BearShare qu'il suffirait de désactiver, si cela est possible.
Mais je ne pense pas que notre ami soit atteint par Blaxe, sinon le log d'HijackThis aurait sorti des lignes contenant C:\Windows\BearShare.exe et C:\Windows\WinBat.exe .
.::: "A trop vouloir feindre de faire fi, on finit
par faire fi de vouloir feindre." :::.
F:\BearShare\BearShare.exe
De plus il me semble que cela viendrait plutot d'une option présente dans paramètres de BearShare qu'il suffirait de désactiver, si cela est possible.
Mais je ne pense pas que notre ami soit atteint par Blaxe, sinon le log d'HijackThis aurait sorti des lignes contenant C:\Windows\BearShare.exe et C:\Windows\WinBat.exe .
.::: "A trop vouloir feindre de faire fi, on finit
par faire fi de vouloir feindre." :::.
