log hiJackThis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Brigitte » 16 Aoû 2004, 02:57

Dans le bios :

Total Memory = 160 MB + 32768 KB Share Memory
1st Bank = SDRAM 128 MB
2nd Bank = SDRAM 64 MB

Level 1 Cache 32 KB enabled
Level 2 Cache 128 KB enabled

Le processeur, il n'est pas rapide 700 MHZ...

Là, c'est du chinois pour moi, share Memory correspondrait à quoi ??

@+
Brigitte
 

RAM DAM

Messagede Gargantua » 16 Aoû 2004, 16:13

Salut Brigitte, Vazkor, NickW, and Co.

Quel ramdam ! :)

C'est gourmand le Bios, mais à ce point là, je ne pensais pas.


Si je vous disais que mon PC avec ses 512 Mo de Ram, n'en fait plus que 480 Mo à l'affichage des propriétés de windows, vous seriez éclaté de rire.

Et bien c'est le cas, il me faut vivre avec ce handicap de l'amputation.

J'ai parfois des douleurs de mon membre fantôme :) , mais je me soigne.
Il y a un post sur le Bios, avec des liens sur des tutoriaux, je vais aller y faire un double saut périlleux avant.
C'est en retransmission à 18h pour ceux qui suivent les J.O (Jeux Olympiques 2004 à Athènes) :D
J'ai toute les chances de faire rigoler le peuple, puisque je suis enrobé.

Pour en revenir à notre chère mémoire virtuelle, il est interressant de lui affecter le double environ de la valeur de la ram.

Dans le cas de Brigitte, elle serait de
Min = 320 Mo
Max = 320 Mo

C'est à prendre ou à laisser ...

Au moins, pour faire avancer le Shimili, shimili, car spybot 1.3 c'est trop bien !
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Messagede Brigitte » 17 Aoû 2004, 00:20

Bonsoir à tous,

"Pour en revenir à notre chère mémoire virtuelle, il est interressant de lui affecter le double environ de la valeur de la ram.

Dans le cas de Brigitte, elle serait de
Min = 320 Mo
Max = 320 Mo "

Je suis désolée, mais je ne souhaite pas faire ce changement, j'ai trop peur de planter mon pc en touchant à ces paramètres, mon pc est stable et je souhaite qu'il le reste.

Spybot était un très bon logiciel, mais la version 1.3 n'est pas stable, j'attendrais la prochaine mise à jour du programme (pas celle des détections). Il ne m'a jamais rien trouvé en dehors des traces d'utilisation, j'ai spywareblaster et ad-aware à côté, donc tant pis pour spybot.

Merci aux modérateurs de ce forum pour l'aide fournie.
Brigitte

win 98se DD 20 Go 160 RAM 700 Mhz
Brigitte
 
Messages: 5
Inscription: 17 Aoû 2004, 00:06
Localisation: Poitou

Poitevine de Chasseneuil ?

Messagede Gargantua » 17 Aoû 2004, 00:33

Salut charmante Poitevine,

Y a pas de couak, et pour l'aide chacun de nous apporte une pierre à l'édifice.

Tu joues la carte de la prudence, et c'est bien aussi.

Pour mon ordinateur XP, j'ai mis une valeur de 719 Mo FIXE, et ça n'a jamais planté.
Pour ma Ram de 480 Mo au lieu de 512 Mo, je pense que c'est aussi dû au fait du partage de la mémoire vidéo.

A +

Chao, du rameur de barque du marais poitevin ... à Coulon plage.

Bertrand alias Gargantua
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Messagede Brigitte » 18 Aoû 2004, 10:28

Bonjour à Tous,

Suite à ce que vous me disiez au sujet de mon log "Ce log HJT n'est pas complet. Normalement on voit des lignes jusqu'à O16 et même parfois O22. ", j'ai cherché sur le site "la manip" et j'ai trouvé l'astuce pour avoir un "log étendu" avec HJT.

"Trucs avancés :
HijackThis : Créer un raccourci pour lancer HiJackThis et ajoutez le switch /ihatewhitelists à la fin. Le log est beaucoup plus étendu."

Effectivement, maintenant je vois des lignes jusqu'à 021.

Poitevine d'adoption mais Normande d'origine donc "entêtée" dans ses recherches quand elle ne trouve pas.

Bonne journée à tous. :wink:
Brigitte

win 98se DD 20 Go 160 RAM 700 Mhz
Brigitte
 
Messages: 5
Inscription: 17 Aoû 2004, 00:06
Localisation: Poitou

HJT étendu

Messagede Gargantua » 18 Aoû 2004, 10:39

Salut Brigitte de souche normande :)

L'entêté Bertrand de souche poitevine attend le log HJT complet sur le forum HJT.

Pour la mémoire virtuelle, au cas où ... http://www.zebulon.fr/articles/mem_virtuelle.php

A+
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Messagede Brigitte » 18 Aoû 2004, 11:03

Salut Bertrand,

voici donc ce log étendu :

Logfile of HijackThis v1.98.2
Scan saved at 10:47:31 , on 18/08/2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\PROGRAM FILES\RAMBOOST XP\RAMBXPFR.EXE
C:\PROGRAM FILES\FREE HISTORY ERASER\HISTORYERASER.EXE
C:\PROGRAM FILES\TRAYIT\TRAYIT!.EXE
C:\PROGRAM FILES\PROXOMITRON NAOKO V4.4\PROXOMITRON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\LOGITHèQ\SéCURITé\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Mes%20documents/bookmark.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.altavista.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Le Web j'adore
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: # Adresses non accessibles
O1 - Hosts: 127.0.0.1 bannerserver.gator.com
O1 - Hosts: 127.0.0.1 ad.fr.doubleclick.net
O1 - Hosts: 127.0.0.1 ad2-1.aureate.com
O1 - Hosts: # site de Microsoft Passport
O1 - Hosts: 127.0.0.1 www.passport.com
O1 - Hosts: # AdProtector
O1 - Hosts: 127.0.0.1 adprotector.com
O1 - Hosts: 127.0.0.1 www.adprotector.com
O1 - Hosts: 127.0.0.1 protectorsuite.com
O1 - Hosts: 127.0.0.1 www.protectorsuite.com
O1 - Hosts: 127.0.0.1 popupprotector.com
O1 - Hosts: 127.0.0.1 www.popupprotector.com
O1 - Hosts: 127.0.0.1 historyprotector.com
O1 - Hosts: 127.0.0.1 www.historyprotector.com
O1 - Hosts: 127.0.0.1 x-protector.com
O1 - Hosts: 127.0.0.1 www.x-protector.com
O1 - Hosts: 127.0.0.1 adprotector.com
O1 - Hosts: 127.0.0.1 www.adprotector.com
O1 - Hosts: 127.0.0.1 panicprotector.com
O1 - Hosts: 127.0.0.1 www.panicprotector.com
O1 - Hosts: 127.0.0.1 surfprotector.net
O1 - Hosts: 127.0.0.1 www.surfprotector.net
O1 - Hosts: 127.0.0.1 redv.net
O1 - Hosts: 127.0.0.1 www.redv.net
O1 - Hosts: 127.0.0.1 secure.redv.net
O1 - Hosts: 127.0.0.1 sdf.redv.net
O1 - Hosts: 127.0.0.1 www.browser-page.com
O1 - Hosts: 127.0.0.1 browser-page.com
O1 - Hosts: 127.0.0.1 www.adwarehunter.com
O1 - Hosts: 127.0.0.1 adwarehunter.com
O1 - Hosts: 127.0.0.1 object.passthison.com
O1 - Hosts: 127.0.0.1 www.object.passthison.com
O1 - Hosts: 127.0.0.1 adwarespy.com
O1 - Hosts: 127.0.0.1 www.adwarespy.com
O1 - Hosts: 127.0.0.1 xplicitonline.com
O1 - Hosts: 127.0.0.1 www.xplicitonline.com
O1 - Hosts: 127.0.0.1 buildtraffic.com
O1 - Hosts: 127.0.0.1 www.buildtraffic.com
O1 - Hosts: 127.0.0.1 adwarexeliminator.com
O1 - Hosts: 127.0.0.1 www.adwarexeliminator.com
O1 - Hosts: 127.0.0.1 iremotepc.com
O1 - Hosts: 127.0.0.1 www.iremotepc.com
O1 - Hosts: 127.0.0.1 athivision.com
O1 - Hosts: 127.0.0.1 www.athivision.com
O1 - Hosts: 127.0.0.1 scanspyware.net
O1 - Hosts: 127.0.0.1 www.scanspyware.net
O1 - Hosts: 127.0.0.1 www.spywareprotector.com
O1 - Hosts: 127.0.0.1 spywareprotector.com
O1 - Hosts: # Doubleclick (Netgravity)
O1 - Hosts: 127.0.0.1 ad.ae.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.ar.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.at.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.au.doubleclick.be
O1 - Hosts: 127.0.0.1 ad.au.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.be.doubleclick.be
O1 - Hosts: 127.0.0.1 ad.be.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.br.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.bs.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.ca.doubleclick.be
O1 - Hosts: 127.0.0.1 ad.ca.doubleclick.com
O1 - Hosts: 127.0.0.1 ad.ca.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.ch.doubleclick.be
O1 - Hosts: 127.0.0.1 ad.ch.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.cl.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.cn.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.co.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.cz.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.de.doubleclick.be
O1 - Hosts: 127.0.0.1 ad.de.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.dk.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.doubleclick.be
O1 - Hosts: 127.0.0.1 ad.doubleclick.com
O1 - Hosts: 127.0.0.1 ad.doubleclick.de
O1 - Hosts: 127.0.0.1 ad.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.eg.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.es.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.fi.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.fr.doubleclick.be
O1 - Hosts: 127.0.0.1 ad.fr.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.gr.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.gt.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.hk.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.hu.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.id.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.ie.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.il.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.in.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.is.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.it.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.jp.doubleclick.be
O1 - Hosts: 127.0.0.1 ad.jp.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.jpln.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.kr.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.kw.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.ma.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.mx.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.my.doubleclick.be
O1 - Hosts: 127.0.0.1 ad.my.doubleclick.net
O1 - Hosts: 127.0.0.1 ad.nl.doubleclick.be
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\FDCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\PROGRA~1\FOLDER~1\FOLDER~1.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKCU\..\Run: [RamBoostXp] "C:\PROGRAM FILES\RAMBOOST XP\RAMBXPFR.EXE"
O4 - HKCU\..\Run: [SPSTEALT] "C:\PROGRAM FILES\FREE HISTORY ERASER\HISTORYERASER.EXE" /stealt
O4 - Startup: TrayIt!.lnk = C:\Program Files\TrayIt\trayit!.exe
O4 - Startup: Proxomitron v4.4.lnk = C:\Program Files\Proxomitron Naoko v4.4\Proxomitron.exe
O8 - Extra context menu item: Vérifier la date de dernière mise à jour - C:\windows\modifpage.htm
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookie.html
O8 - Extra context menu item: Download with &FD - file://C:\PROGRAM FILES\FRESHDEVICES\FRESHDOWNLOAD\fdiectx.htm
O8 - Extra context menu item: Download &All by FD - file://C:\PROGRAM FILES\FRESHDEVICES\FRESHDOWNLOAD\fdiectx2.htm
O9 - Extra button: Wallpaper - {c23dd370-cb79-11d2-898a-00c04f80a47f} - C:\PROGRA~1\INTERN~1\Toolbar\toolbar.hta
O9 - Extra 'Tools' menuitem: &Toolbar Wallpaper - {c23dd370-cb79-11d2-898a-00c04f80a47f} - C:\PROGRA~1\INTERN~1\Toolbar\toolbar.hta
O9 - Extra button: Edition - {FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345} - C:\WINDOWS\notepad.exe
O9 - Extra 'Tools' menuitem: Bloc-Notes - {FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345} - C:\WINDOWS\notepad.exe
O10 - Unknown file in Winsock LSP: c:\windows\system\rnr20.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\mswsosp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\msafd.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\msafd.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\msafd.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\rsvpsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\rsvpsp.dll
O16 - DPF: Microsoft XML Parser for Java -
O16 - DPF: DirectAnimation Java Classes -
O16 - DPF: Internet Explorer Classes for Java -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O18 - Filter: text/webviewhtml - {733AC4CB-F1A4-11d0-B951-00A0C90312E1} - C:\WINDOWS\SYSTEM\SHDOC401.DLL
O18 - Filter: lzdhtml - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Filter: Class Install Handler - {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\SYSTEM\urlmon.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\SYSTEM\WEBCHECK.DLL

En espérant qu'il sera bon.
Bon courage pour l'analyse du log :)
Brigitte

win 98se DD 20 Go 160 RAM 700 Mhz
Brigitte
 
Messages: 5
Inscription: 17 Aoû 2004, 00:06
Localisation: Poitou

WALOUT LSP hosts

Messagede Gargantua » 18 Aoû 2004, 11:27

Salut Brigitte,

Célérité et discrétion !

Trop fort ce log, à première vue:

J'ai aussi un fichier hosts et jamais mon HJT n'a affiché toutes ces lignes en 01
O1 - Redirections dans le fichier Hosts
Ce à quoi çà ressemble :

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts

Que faire :
Ce piratage va rediriger l'adresse de droite vers l'adresse IP de gauche. Si l'IP ne correspond pas à l'adresse, vous serez redirigé vers un mauvais site chaque fois que vous entrerez cette adresse. Vous pouvez toujours les faire corriger par HijackThis, sauf si vous avez mis ces lignes à bon escient dans votre fichier Hosts.
Le dernier élément est quelquefois rencontré dans 2000/XP lors d'une infection Coolwebsearch. Corrigez toujours cet élément, ou faites le réparer automatiquement par CWShredder.


ligne 10 : tu t'es choppé le LSP, donc il faut que tu utilises le
Restaurer les Winsocks LSPs
Pierre Pinard© (03.04.2004 - révision 1) (17.07.2004 - révision 2)


LSP ( Layered Service Provider ).
Couche de services entre les Winsock (sockets Windows) et la couche réseau.

C'est un driver (pilote) système incrusté très profondément dans les services réseau de Windows. Il a accès à chaque donnée qui entre ou sort de l'ordinateur et a le pouvoir de modifier ces données. Quelques uns de ces LSPs sont nécessaires à Windows pour permettre la connexion à d'autres ordinateurs y compris ceux distants sur Internet.

Malheureusement, certaines malveillances "avancées" sont suffisemment bien écrites pour être capables, elles aussi, de s'installer en tant que LSP. Elles ont ainsi accès à l'intégralité des données transportées et en profite pour les analyser et vous rediriger vers les sites qui leurs conviennent.

Les grands habitués de cette forme avancée de hijack sont CommonName, New.Net (New Dot Net), NewtonKnows, WebHancer, coolwebsearch...


SpyBoot Search & Destroy
SpyBot Search & Destroy permet de voir la liste des LSPs (Outils > Winsock LSPs). Il coche en vert celles légitimes et en rouge celles illégitimes. Par contre SpyBot ne permet pas de manipuler cette liste ni de supprimer des LSPs.


LSPs valides, hostiles, suspectes, inconnues
Sur http://www.angeltowns.com/members/zupe/lsps.html une liste (le seule ?) de LSPs classées en

* Valid LSPs - LSPs valides
* Malware LSPs - LSPs hostiles
* Debatable LSPs - Débat ouvert - suspectes
* Unknown LSPs - Inconnues; on ne sait pas à qui elles sont ni ce qu'elles font.


HijackThis
HijackThis donne, dans son rapport (log), la liste des hijacker de Winsock infestant actuellement votre ordinateur. Ce sont les lignes commençant par O10. Si vous voyez dans le log de HijackThis une ligne comme
O10 - Unknown file in Winsock LSP: c:\winnt\system32\machinchose.dll
faites ce qui suit :


LSP-Fix

1. Téléchargez LSPfix depuis http://www.cexx.org/lspfix.htm
Il s'agit de l'emplacement original de cet utilitaire - méfiez-vous des copies que vous pourriez trouver ailleurs.

2. Lancez l'application (Exécutez la) et agrandissez la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.

3. Déconnectez-vous d'Internet et fermez toutes les instances (fenêtres) Internet Explorer.

4. Cochez la case "I know what I'm doing" ("Je sais ce que je fais").

5. Sélectionnez toutes les instances de machinchose.dll et rien d'autre et faites les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove").

6. Cliquez sur le bouton "Finish".

7. Maintenant, redémarrez votre ordinateur en mode sans echec (Comment démarrer en mode sans echec)

8. Rechercher et détruire le fichier find and delete the c:\winnt\system32\msspi.dll file itself.


J'ai un doute sur la ligne 018
Pirates de protocole et de protocoles additionnels
Ce à quoi çà ressemble :

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Que faire :
Seuls quelques pirates la ramène ici. Les néfates connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), vous devez les faire réparer par HijackThis.
D'autres choses qu'on y voit sont non confirmés comme sains ou piratés par des spywares (par exemple le CLSID qui a été modifié). Dans ce dernier cas, faites réparer par HijackThis.


J'ai un doute sur la ligne 021 mais prudence:
Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
Ce à quoi çà ressemble :

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

Que faire :
C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.


A peluche, l'amie.
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Messagede Vazkor » 18 Aoû 2004, 11:30

Bonjour Brigitte l'entêtée,

Là nous irions bien ensemble. Bien que je ne me connaisse pas d'origine de cette région, chez nous ce sont les Ardennais qui ont cette réputation.

Il y a cela qui m'interpelle:

O10 - Unknown file in Winsock LSP: c:\windows\system\rnr20.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\mswsosp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\msafd.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\msafd.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\msafd.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\rsvpsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\rsvpsp.dll

Je pense que tu devrais utiliser LSPFix.exe pour réparer ces LSP.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede le gromleux » 18 Aoû 2004, 11:59

bonjour,

il semble que Brigitte ait utilisé le switch "/ihatewhitelists" pour produire son log HJT, ce qui explique pourquoi il est si complet :

-concernant les hosts, on en a déjà parlé ici : il n' y a donc sans doute pas de problème, le fichier semble "sainement" écrit
( a priori, les # signalent différents fichiers hosts chargés )

-concernant les WinsocksLSP : prudence absolue :
1)tous les logs "switchés" postés dans ce forum ( et ailleurs) rapportent en général ces mêmes lignes ; possesseur de W98SE, j'ai exactement les mêmes (si tout le monde a la même chose...)
2)j'ai tendance à penser que quand SpyBot signale ces mêmes Winsocks en vert ( comme c'est le cas chez moi) , ils ne doivent donc pas poser problème (sauf à être contredit, bien sûr !)

-lignes 18 : j'ai exactement les mêmes (sauf la ligne "ipp ......- no file")

- ligne 21 : j'ai la même aussi

donc, sauf à considérer -sacrée coïncidence tout de même ! - que j'aurais exactement la même infection (mais chez moi, aucun problème de fonctionnement de l'ordinateur et/ou du surf..), je conseillerais volontiers à Brigitte de ne rien toucher dans tout cela ! Mais qu'en pensent les autres possesseurs de W98 ?

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités