[OK] Demande d'aide pour analyse Log HijackThis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Demande d'aide pour analyse Log HijackThis

Messagede captainnavarre » 07 Mai 2004, 13:35

Bonjour, bonjour!

Tout d'abord, un petit mot de félicitations donc pour tous ceux qui font tourner assiste.com et le forum. On y trouve une mine de renseignements utiles et bien exposés, ce qui m'a bien aidé. Félicitations! :)

Bon, que m'arrive-t-il? Eh bien, il y a quelques jours, j'ai visité le site web de trop qui installé tout un tas de saletés sur mon PC... Certainement en sus de ce qui s'y trouvait déjà et dont je ne m'étais préoccupé jusqu'à ce jour.

Après avoir livré une intense bataille, installations sauvages vs clics acharnés, j'ai pu temporairement calmer les choses, ce qui m'a permis de nettoyer à la main tant bien que mal certains répertoires et clés de la base de registres.

Une recherche sur Google m'a ensuite dirigé vers assiste.com. Ecoutant les conseils avisés, j'ai installé PestPatrol qui a listé pas moins de 130 objets indésirables, me permettant d'entamer une deuxième passe de nettoyage.

J'ai ensuite utilisé HijackThis dont le log, couplé à vos explications, m'a permis de faire une troisième passe de nettoyage [Je deviens une parfaite e-ménagère. ;)]. Je dois toutefois avouer avoir du mal à analyser la liste des running processes et des éléments O4, ie à distinguer ce qui est louche de ce qui ne l'est pas.

Pourriez-vous m'apporter vos lumières? [Log joint ci-après.]

En vous remerciant par avance,

Bien cordialement,

CaptainNavarre

***

Logfile of HijackThis v1.97.7
Scan saved at 14:14:59, on 07/05/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\SBMX.EXE
C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\WINDOWS\SYSTEM\PROMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\IEHOST.EXE
C:\WINDOWS\SYSTEM\OIPBSE35.EXE
C:\PROGRAM FILES\PESTPATROL\PPCONTROL.EXE
C:\PROGRAM FILES\PESTPATROL\PPMEMCHECK.EXE
C:\PROGRAM FILES\PESTPATROL\COOKIEPATROL.EXE
C:\WINDOWS\APPLICATION DATA\UOBR.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST800\DSLMON.EXE
C:\PROGRAM FILES\CLUB-INTERNET\LANCEUR\LANCEUR.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\LOGITECH\IMAGESTUDIO\LOWLIGHT.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.M6net.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.club-internet.fr/

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SBMX] C:\WINDOWS\SYSTEM\sbmx.exe
O4 - HKLM\..\Run: [ICH Synth] eusexe.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] c:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] c:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Bakra] C:\WINDOWS\SYSTEM\IEHost.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\SYSTEM\DP-HIM.EXE
O4 - HKLM\..\Run: [qt9h36U] OIPBSE35.EXE
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Aece] C:\WINDOWS\Application Data\uobr.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\DSLMON.exe
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O12 - Plugin for .swf: C:\PROGRAM FILES\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll

O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/c ... /at0_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potc_x.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
captainnavarre
 
Messages: 3
Inscription: 07 Mai 2004, 12:34
Localisation: Paris 14

Messagede Jim Rakoto » 07 Mai 2004, 15:36

Salut,

Ben, il y a encore qq saloperies :

C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\IEHOST.EXE
C:\WINDOWS\SYSTEM\OIPBSE35.EXE
Processus anormaux

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.M6net.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.club-internet.fr/
A fixer

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
Voilà ce qu'on devrait normalement avoir pour cette clé 03, or la syntaxe de celle ci-dessus est différente. A mon avis, pas bon

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Suspect pour moi ?

O4 - HKLM\..\Run: [ICH Synth] eusexe.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
A fixer


O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Bakra] C:\WINDOWS\SYSTEM\IEHost.exe
A fixer

O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\SYSTEM\DP-HIM.EXE
A fixer
O4 - HKLM\..\Run: [qt9h36U] OIPBSE35.EXE
A fixer

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
??
O4 - HKCU\..\Run: [Aece] C:\WINDOWS\Application Data\uobr.exe (normalement votre banque)

O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
A fixer

O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/c ... /at0_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potc_x.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
A fixer

Ne pas oublier de faire une sauvegarde du registre avant nettoyage

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Sido » 07 Mai 2004, 16:00

bonsoir
Jim, svp
comment on fait une sauvegarde du registre ?
j'ai le log regcleaner cela peut aider ??
et aussi est-ce que je peux lancer un nettoyage manuel
ou auto qu'en pense-tu ??
merci Jim - (au fait il y a encore bocou de neige !!)
@+ SIDO
Sido
 
Messages: 87
Inscription: 06 Mai 2004, 20:03
Localisation: sur les montagnes enneigées...

Messagede Jim Rakoto » 07 Mai 2004, 16:34

Salut Pam,

Bon et alors, on ne suit pas dans le fond de la classe ;oD

Voici l'explication fournie par Jean-Claude que je recopie bêtement (suis fainéant quoi !!):


"Rgedit permet de modifier la base de registre mais aussi de la sauvegarder, soit en totalité, soit seulement en partie.

A supposer que tu veuilles modifier la clé suivante:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Tu la mets en surbrillance dans le volet de gauche de regedit.
Tu vas ensuite dans la barre de Menu: Registre > Exporter un fichier du registre ...
Un fenêtre s'ouvre, où il suffit de donner un nom au fichier, run, par exemple, Il se verra automatiquement attribuer une extension .reg
En bas, à gauche, il faut sélectionner Uniquement la branche sélectionnée (sinon c'est toute la base de registre qui sera enregistrée dans le fichier créé. Cela fait plus de 30 Mo chez moi).

Le fichier .reg est un script de base de registre. Un double-clic sur celui-ci permet de fusionner le contenu du fichier avec la base de registre et donc de remettre les choses en place.

C'est un fichier texte qui peut être vu et modifié avec le Bloc-notes de Windows (notepad.exe). A reserver à ceux qui s'y connaissent. "

Connais pas regcleaner, J'utilise JV16 qui permet d'enlever uniquement ce qui effaçable sans risque + Regsuprême


A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede césar » 07 Mai 2004, 16:51

Jim Rakoto a écrit:Salut,

Ben, il y a encore qq saloperies :


O4 - HKLM\..\Run: [adiras] adiras.exe
A fixer


adiras.exe, c'est un processus malveillant ? j'ai un truc appelé adiras.ini dans c:\windows, il contient trois lignes et c'est tout.
mais pas d'adiras.exe
je le fous à la poubelle ?
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede Jim Rakoto » 07 Mai 2004, 16:59

Salut,

Après recherche complémentaire,
"Adiras.exe et adiras.ini se trouvent normalement dans répertoire windows. Ce sont des fichiers nécessaires au fonctionnement du modem sagem !!!!
Il ne faut pas les supprimer !!!
Les Vers peuvent toutefois les utiliser
Si adiras.exe apparait dans les processus en cours et occupe presque 100% de ressources c'est qu'il y a un ver

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede captainnavarre » 07 Mai 2004, 17:21

MàJ: Post croisé.

Merci pour ce prompt coup de main! :)

Je viens de nettoyer quelques éléments supplémentaires, et de rebooter... Je n'ai a priori rien cassé.

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Suspect pour moi ?
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
??


Ces DLLs seraient liées à la gestion de l'alimentation, pour les portables d'après des infos glânées ici et là...

O4 - HKLM\..\Run: [adiras] adiras.exe
A fixer


Après petite enquête, adiras.exe semble lié à mon modem sagem. J'ai peur d'avoir des soucis en le fixant ce point.

O4 - HKLM\..\Run: [Bakra] C:\WINDOWS\SYSTEM\IEHost.exe
A fixer
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\SYSTEM\DP-HIM.EXE
??


J'ai tenté de glaner des infos sur ces deux éxecutables mais sans succès.

Un truc qui m'inquiète : j'étais tranquillement en train de rédiger ce message quand mon HD s'est excité et PestPatrol a bloqué l'éxécution de PCSVC et DPI. Les dossiers correspondants à ces deux éxec ont été réinstallés puisque je les ai virés ce matin! Quelque chose est donc allé les chercher...
captainnavarre
 
Messages: 3
Inscription: 07 Mai 2004, 12:34
Localisation: Paris 14

Messagede Jim Rakoto » 07 Mai 2004, 17:38

Salut,

Je confirme pour IEhost et DP-HIM

Confirmation sur forum de Lavasoft ici : http://www.lavasoftsupport.com/index.ph ... opic=26038

Ne pas oublier de supprimer les fichiers internet temporaires.

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede captainnavarre » 07 Mai 2004, 18:24

Jim Rakoto a écrit:Je confirme pour IEhost et DP-HIM
(...)
Ne pas oublier de supprimer les fichiers internet temporaires.


OK. J'ai supprimé les entrées liées à ces deux process. Et je suis toujours là après mon reboot! \o/ IE semble tourner correctement.

Certains nouveaux process sont étrangement apparus dans ma liste. Je vais tenter de les analyser.

[J'ai rajouté OK devant le sujet étant donné que l'analyse initiale de mon fichier de log a été faite.]

@+
captainnavarre
 
Messages: 3
Inscription: 07 Mai 2004, 12:34
Localisation: Paris 14


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 24 invités

cron