SVP demande d'analyse d'un log HijackThis :)

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

SVP demande d'analyse d'un log HijackThis :)

Messagede jerkeve » 09 Aoû 2004, 11:33

mon liveupdate est a jour et mon AV aussi, mais j'ai des spywares remanants (style alexa related) et je cherche d'ou ca vient ??

MERCI de me dire s'il y a qquechose d'anormal la dessous :D

Code: Tout sélectionner
Logfile of HijackThis v1.97.7
Scan saved at 11:59:56, on 09/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\System32\BacsTray.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe


C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\ePrompter\ePrompter.exe
C:\Program Files\Mobydock DX\Mobydock.exe
C:\Documents and Settings\Portable\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr&lr=lang_fr&ie=UTF-8&oe=UTF-8&output=search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.fr"); (C:\Documents and Settings\Portable\Application Data\Mozilla\Profiles\default\4ewqnw6o.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\Portable\Application Data\Mozilla\Profiles\default\4ewqnw6o.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ATnotes.lnk = C:\Program Files\ATnotes\ATnotes.exe
O4 - Startup: ePrompter.lnk = C:\Program Files\ePrompter\ePrompter.exe
O4 - Startup: Mobydock DX.lnk = C:\Program Files\Mobydock DX\Mobydock.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
jerkeve
 
Messages: 6
Inscription: 09 Aoû 2004, 11:27

Messagede bay » 09 Aoû 2004, 12:42

Bonjour jerkeve
j'ai des spywares remanants (style alexa related)
qui proviennent à mon avis des maj de Windows !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Kethryes » 09 Aoû 2004, 14:39

Logfile of HijackThis v1.97.7
Passe a la version 1.98.2 !!!

Desactive la restauration systeme
Redemare en mode sans echec (F8 au redemarage)
Passe AV+Spybot et Cie

Fixe :
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

Ensuite il y a un tas de trucs inutiles au demarage, dans les boutons, dans les activesX.... mais qui ne me semblent pas mechants, a toi de faire le menage entre ce que tu veux garder et ce qui t'est inutile
@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede nickW » 09 Aoû 2004, 16:03

Bonjour,
Ne pas fixer la ligne O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

D'après la liste de Pacman:
"Y" – Normalement, laissez les s'exécuter au démarrage
Accès par lettre de lecteur à la version HP et Veritas de DirectCD. Fait la même chose que DirectCD. D'après HP - "C'est un fichier nécessaire car il contrôle la fonction lecture des lecteurs Combo. Sans le chargement de ce fichier, l'utilisateur pourra écrire des CDs mais ne sera pas capable de les lire. Le lecteur lui-même sera capable de lire des CDs achetés dans le commerce sans le fichier, mais pas des CDs gravés"
Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede jerkeve » 09 Aoû 2004, 17:18

:shock: AAAARGHHHHHHH... merci nickW...

Merci aussi Kethryes, mais avant d'aller plus loin, est-il sur qu'il faille fixer :
Code: Tout sélectionner
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll  ???
?????????
Juste pour eviter d'avoir a formater demain matin... :(

bay, desolé pour mes soupcons, tu dois avoir raison pour Alexa, mais j'avoue qua c'est bizare, il doit aussi y avoir une barre Alexa parceque meme Spybot me le detecte comme spyware (comme AdAware et Spy Sweeper) ... Je pense qd meme qu'il y a une autre bebette qqupart ds man PC, et comme je bosse dessus, j'aimerais autant eviter ... :oops:
jerkeve
 
Messages: 6
Inscription: 09 Aoû 2004, 11:27

Messagede le gromleux » 09 Aoû 2004, 17:28

bonsoir jerkeve,

tfswshx.dll-{5CA3D70E-1895-11CF-8E15-001234567890} correspond à "Hewlett-Packard/Veritas DLA software" (cf message NickW ci-dessus) : la dicussion reste ouverte sur l'opportunité de le fixer ou pas

dans le doute...

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede Tesgaz » 09 Aoû 2004, 17:31

Salut,

le fait de fixer cette ligne n'empèchera pas de faire fonctionner ton OS
la ligne 02 ne sert que pour IE
si c'est la meme sur la ligne 04, ca demarre automatiquement le programme au "démarrage" de ta machine, je peux te dire qu'il n'est absolument pas vital pour ton démarrage,

donc aucun soucis, tant que tu supprimes pas le fichier en lui-même

() juste pour rappel, quand on fixe une ligne dans HTJ, on supprime des clés dans la base de registre, en aucun cas, on supprime le fichier.
donc ce fichier peut être réactivé malheureusement dans la BDR (principalement par les malwares les plus teigneux)
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede nickW » 09 Aoû 2004, 17:35

Bonjour,

Une page sur les BHOs: http://assiste.com.free.fr/p/internet_attaques/bho.php

Sur http://www.sysinfo.org/bholist.php
on obtient:
{5CA3D70E-1895-11CF-8E15-001234567890}: tfswshx.dll - Hewlett-Packard/Veritas DLA software

Donc si tu gardes la ligne O4 déjà citée, tu peux garder celle-ci aussi.
Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede jerkeve » 09 Aoû 2004, 17:44

bon, bon... donc si je resume ce que j'ai compris, ces 2 lignes sont peut etre plus ou moins utiles, mais pas des add-ons de spywares...

Et mon probleme reste entier : to be or not to be infected, Bay a sans doute raison, c'ets peut etre Micro$oft qui fait des siennes. Mais ca menerve d'avoir cette "barre Alexa" qui ressort a chaque scan de AdAware ou de Spy Sweeper... Je me demandais si ce n'etais pas MobiDock (freeware, donc suspect :Mouaaarrrrffffffff: ) qui m'avait installé ca ?

Donc vous pensez que mis a part ca mon log est clean ??

Si c'est le cas, MERCI les pros, ce forum est reactif +++, je l'ai decouvert par gougueul et je reviendrai :D
jerkeve
 
Messages: 6
Inscription: 09 Aoû 2004, 11:27

Messagede Tesgaz » 09 Aoû 2004, 17:52

nickW a écrit:Bonjour,

D'après la liste de Pacman:
"Y" – Normalement, laissez les s'exécuter au démarrage
Accès par lettre de lecteur à la version HP et Veritas de DirectCD. Fait la même chose que DirectCD. D'après HP - "C'est un fichier nécessaire car il contrôle la fonction lecture des lecteurs Combo. Sans le chargement de ce fichier, l'utilisateur pourra écrire des CDs mais ne sera pas capable de les lire. Le lecteur lui-même sera capable de lire des CDs achetés dans le commerce sans le fichier, mais pas des CDs gravés"
Salut,



salut nickW,

j'ai juste quelques doutes sur la véracitée de ce que dit HP, c'est plus une façon détournée de mieux espionner sans que personne s''en apercoive,
a titre personnel, j'ai un portable Dell, je me rappele le nombre de trucs qu'il y avait dans le gestionnaire des taches, quand je suis passé sous Linux, il n'y avait plus aucun controle de la part de DELL, et je n'ai jamais eu de soucis pour faire fonctionner la bète (d'ailleur aucun support dell pour linux, comme ca on est peinard)

de toute façon, de plus en plus sur les pcs achetés en grande surface, il y a des pseudos "aide" qui servent plus leur causes que celle du client.
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 8 invités