Demande d'analyse d'un log HijackThis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Demande d'analyse d'un log HijackThis

Messagede nikkkoz » 12 Aoû 2004, 22:21

Hello,

J'ai rencontré un problème avec IE 6 avec ma page de démarrage. Par défaut la start page est about:blank et il est impossible de la changer. J'ai alors consulter différents forums, et on m'a conseillé d'employer le programme "HijackThis".

J'ai donc récupérer mon fichier de log et maintenant je ne sais pas quelles lignes il faut fixer pour remédier à mon problème.

J'attends donc avec impatience les conseils de qqun (quelle lignes fixer, suite des opérations, ...)

Merci d'avance pour le temps perdu et le travail fourni

Salutations!!

Voici mon log :


Logfile of HijackThis v1.98.2
Scan saved at 22:50:49, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe AV = AVG OK!
C:\WINDOWS\System32\drivers\CDAC11BA.EXE Sais-tu à quoi cela sert?
C:\WINDOWS\system32\ZONELABS\vsmon.exe PF ZoneAlarm OK
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe Inutile
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe Inutile
C:\WINDOWS\System32\hphmon05.exe Sais-tu à quoi cela sert?
C:\Program Files\QuickTime\qttask.exe Inutile
C:\Program Files\OfferApp\OfferApp.exe Sais-tu à quoi cela sert? Probablement un adware
http://forums.tomcoyote.org/index.php?s ... 2990&st=30

C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Documents and Settings\All Users\Documents\WinZip\WZQKPICK.EXE Inutile
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\devldr32.exe Sais-tu à quoi cela sert?
devldr32 - devldr32.exe - Process Information:
Process File: devldr32 or devldr32.exe
Process Name: Creative Ring3 NT Interface
Description: Process that runs solely on Windows 2000 and XP. It seems to be crucial to the audio input, the Creative Mixer, the PlayCenter, and the AudioHQ application.
http://www.liutilities.com/products/win ... /devldr32/

C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijack\hijackthis.exe

Tu peux fixer tout ce que j'ai mis entièrement en gras. Vois aussi mes remarques en fin de ligne.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchdot.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)

Fixe tout cela. Tu remettras ensuite les paramètres par défaut de IE, que tu pourras ensuite modifier

F1 - win.ini: run=C:\WINDOWS\..\PROGRA~1\COMMON~1\MICROS~1\MSInfo\info32.exe Inutile. A fixer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {893A9B94-3056-465A-9E9C-4491DF80C3CD} - C:\WINDOWS\System32\demead.dll Très suspect!
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\Documents and Settings\Denise Pralong\Application Data\winhh\winhh.dll (file missing) Puisqu'il le dit! [b]
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot [b]Inutile mais difficile à enlever. Untiliser Real Alternative plutôt que le Real Player qui est un énorme mouchard

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exeInutile au démarrage
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe Probablement inutile au démarrage
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"Inutile au démarrage
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exeInutile au démarrage
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" Inutile au démarrage. Ce programme est dangereux par les programmes qui l'accompagnent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime Inutile au démarrage[/b]
O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe Une cochonnerie
win32.exe
Added to the system as a result of the RATEGA virus that is a Trojan horse that gives a hacker complete access to your computer. By default, the Trojan listens on port 6969 and notifies the hacker through email. The Trojan notification message will contain the subject line "Omega Help."
http://www.liutilities.com/products/win ... ary/win32/

O4 - HKLM\..\Run: [OfferApp] C:\Program Files\OfferApp\OfferApp.exe Un adware!
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundInutile au démarrage
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE C'est un vrai crampon, qui ne sert qu'à bouffer inutilement des ressources
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\All Users\Documents\WinZip\WZQKPICK.EXE Inutile au démarrage

O9 - Extra button: Microsoft® JavaScript® Console - {03EE4F58-E3D2-4841-92A4-C61B9201A5C4} - C:\WINDOWS\system32\comdlg32.ocx

O9 - Extra button: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\JCA2000\Stoppub\StopPub.exe
O9 - Extra 'Tools' menuitem: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\JCA2000\Stoppub\StopPub.exe
O9 - Extra button: Microsoft® JavaScript® Console - {1BCA0873-38D9-4F98-BE7E-96EEDD02005C} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra 'Tools' menuitem: JavaScript Console - {1BCA0873-38D9-4F98-BE7E-96EEDD02005C} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Microsoft® VBScript® Console - {403ECA2A-DF59-48CB-B529-D9FD5F35B9E0} - (no file)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {403ECA2A-DF59-48CB-B529-D9FD5F35B9E0} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {656464BE-ABF8-4BB2-A1FA-C1068F13947F} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {8D8EBE5E-2500-4944-904E-F319F13944C1} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {B266DFF6-6D54-4909-A3F5-DF9F871BE9CB} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra 'Tools' menuitem: JavaScript Console - {B266DFF6-6D54-4909-A3F5-DF9F871BE9CB} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: Microsoft® JavaScript® Console - {B703C2F9-B536-4818-BD24-414606A3119C} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: Microsoft® JavaScript® Console - {BCAEDEF5-33FC-49E3-BC5B-569BC7E0210A} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra 'Tools' menuitem: JavaScript Console - {BCAEDEF5-33FC-49E3-BC5B-569BC7E0210A} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: Microsoft® JavaScript® Console - {D81264DA-54B7-4356-92A6-558137157C1D} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: Microsoft® JavaScript® Console - {F305856E-E639-4B0C-B614-BDD526615DF1} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra 'Tools' menuitem: JavaScript Console - {F305856E-E639-4B0C-B614-BDD526615DF1} - C:\WINDOWS\system32\comdlg32.ocx
O9 - Extra button: Microsoft® JavaScript® Console - {FF1BAB76-DE2A-4178-AFD6-D894C7BAF118} - C:\WINDOWS\system32\comdlg32.ocx

Il faut désinstaller la Machine Java de MS et la remplacer par celle de Sun. Voir la Manip pour les détails


O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)Puisqu'il le dit
O9 - Extra button: Microsoft® VBScript® Terminal - {403ECA2A-DF59-48CB-B529-D9FD5F35B9E0} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {403ECA2A-DF59-48CB-B529-D9FD5F35B9E0} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)Puisqu'il le dit


O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/c ... /tt2_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/c ... jst3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potc_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
As-tu bien besoin de garder tout cela? Tu peux mais ne dois pas fixer tous ces O16

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O18 - Filter: text/html - {F8E4024D-4869-4D55-8069-5D1FEEE2A99F} - C:\WINDOWS\System32\demead.dll Inconnu sur Google. Nom forgé de toutes pièces?
O18 - Filter: text/plain - {F8E4024D-4869-4D55-8069-5D1FEEE2A99F} - C:\WINDOWS\System32\demead.dll Malware probable
O19 - User stylesheet: (file missing) Puisqu'il le dit


Bon travail :)

Après avoir fixé les problèmes, si tu as des doutes ne supprime pas les fichiers suspects mais renomme-les exemple demead.dll en demead.dll_ . Tu pourras ainsi annuler si tu as des remords.

[Log édité par Vazkor - Inutile de plus encombrer ce post]
Nico
nikkkoz
 
Messages: 1
Inscription: 12 Aoû 2004, 22:11

Messagede Tesgaz » 12 Aoû 2004, 22:42

Salut nikkkoz


tu as lu l'article sur ce qu'il faut faire avant d'utiliser hijackthis ?
http://terroirs.denfrance.free.fr/forum ... highlight=

en principe about:blank se supprime avec CWShredder
http://209.133.47.200/~merijn/files/CWShredder.exe


ensuite tu vides tout tes fichiers temporaires avec le nettoyeur de bureau

ensuite tu reposts ton log
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

SP html

Messagede Gargantua » 13 Aoû 2004, 00:24

Bonsoir Nikkkoz et Tesgaz,

Il est aussi important d'appliquer (au minimum la mini manip), en mode sans échec F8.

Tu pourrais aussi tester About Buster en version 3.0

# About:Buster (par RubbeR DuckY) est la réponse à donner contre la variante res:// de About:Blank. About:Buster ne sert pas contre les autres variantes de hijack, uniquement contre la variante de la forme

* res://<random>.dll/<random>.html#<random>
et, avec un peu de chance, contre la forme connue sous le nom de sp.html
res://<random>.dll/sp.html


<random> signifiant, puisque la question a été posée plusieurs fois, "nom aléatoire changeant tout le temps et généré à la volée" - autrement dit, n'importe quoi.

# Téléchargez About:Buster http://www.tools.zerosrealm.com/AboutBuster.zip ou http://www.downloads.subratam.org/AboutBuster.zip
# Dézippez-le et mettez un racourci sur votre bureau.
# Fermez toutes les instances Internet Explorer, toutes les fenêtres et tous les programmes.
# Videz tous les caches de vos navigateurs (avec SpyBot Search & Destroy par exemple).
# Faites un log HiJackThis et fixez toutes les DLLs du groupe O4 qui ont des noms aléatoires ainsi que le/les BHOs de même nature. Toutes les DLLs et tous les BHOs connus (légitimes ou non), sont cités sur le Web - si vous lancez une recherche sur un nom de DLL ou de BHO et n'obtenez pas de résultat, c'est une hostilité à fixer. Fixez les lignes R0 et R1 hijackées n'est pas utile à l'instant présent mais vous pouvez le faire.
# Redémarrez en mode sans echec (Impérativement en mode sans échec).
# Double click sur About:Buster.
# Ok
# Start
# Ok
# Un scan est exécuté (attendre quelques secondes).
# Sauvegardez le log de ce scan dans un fichier .txt quelconque afin de le retrouver si vous êtes amené à consulter un helper sur un forum.
# Refaites un second scan, pour voir.
# Si vous obtenez un message "Error Removing", c'est un fichier impossible à détruire. Considérez alors "Outil contre un fichier impossible à supprimer" juste au-dessus.
# Redémarrez en mode normal.
# Lancez HiJackThis postez votre log dans ce forum.

# * hsremove Autre outil contre les variantes res:// et sp.html
# * SpHjfix.exe Autre outil contre la variante sp.html. En allemand, par les sites Rokop-Security et Trojaner-Info

La manip d'Assiste.com
Pierre Pinard©


Amitiés.
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 14 invités