Demande analyse d'un log hijackThis :) merci

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Demande analyse d'un log hijackThis :) merci

Messagede Phenix30 » 06 Sep 2004, 10:22

Bonjour.

J'ai besoin d'un coup d'oeil et de conseils avisés d'expert en la matiere. Je suis malheureusement trop novice pour prendre l'initiative d'effacer des "trucs" dans cette liste. Merci beaucoup de votre aide !

Phenix

Logfile of HijackThis v1.97.7
Scan saved at 11:12:28, on 06/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\oodag.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\eMule\Emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Mes documents\Emule temporaire\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PSDrvCheck] "c:\program files\pinnacle\edition 5\program\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - Startup: BHODemon 2.0.lnk = C:\Program Files\BHODemon 2\BHODemon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Voiceglo directory (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/C ... 3577314815
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylom.servicesalacarte.wa ... loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD4FD8EB-F316-4EB7-ABE0-15E6B4758A62}: NameServer = 80.10.246.1 80.10.246.132
Phenix30
 
Messages: 12
Inscription: 06 Sep 2004, 10:16

Messagede Revan » 06 Sep 2004, 10:52

Bonjour Phenix30,

tu devrais passer à la version 1.98.2 de HijackThis ( http://www.majorgeeks.com/download3155.html ).
De plus, fait LA MANIP ( http://assiste.com/manip.html ) et çà enlevera pas mal de M**DES !!!

Ensuite, reposte nous le log.

Tchao :wink:
Image Image
XP Home SP2, Mozilla 1.7.3, NAV 2003, Kerio PF, Spybot S&D, SpywareGuard, SpywareBlaster, HijackThis 1.98.2, Ad-aware 6, ZEB-Protect ...
Avatar de l’utilisateur
Revan
 
Messages: 187
Inscription: 17 Juil 2004, 10:54
Localisation: Dijon

Messagede Phenix30 » 06 Sep 2004, 11:54

Salut raven et merci de me mettre sur une piste

J'ai suivi tes instructions a la lettre. J'ai peaufiner spybot et je te joint le nouveau log. Merci !

Logfile of HijackThis v1.98.2
Scan saved at 12:51:06, on 06/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\oodag.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\eMule\Emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Mes documents\Emule temporaire\hijackthis version\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PSDrvCheck] "c:\program files\pinnacle\edition 5\program\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Program Files\BHODemon 2\BHODemon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Voiceglo directory - {C9B8ABB6-1CC3-4957-9CA3-053036B2EE3A} - C:\WINDOWS\All users\Bureau\Glophone.lnk
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylom.servicesalacarte.wa ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD4FD8EB-F316-4EB7-ABE0-15E6B4758A62}: NameServer = 80.10.246.1 80.10.246.132
Phenix30
 
Messages: 12
Inscription: 06 Sep 2004, 10:16

Messagede le gromleux » 06 Sep 2004, 12:08

bonjour Phenix30,

dans ton log , je fixerais ça :
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"

édité : "O4 - Startup: BHODemon 2.0.lnk = C:\Program Files\BHODemon 2\BHODemon.exe" : NE PAS FIXER -programme connu et légitime

par ailleurs, concernant les lignes 016, à toi de voir si elles font référence à un site et/ou un programme que tu connais et que tu as utilisé (ou que tu utilises toujours ) : si non : à fixer

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede Revan » 06 Sep 2004, 12:18

Re,

Un ptit tour sur hijackthis.de pour voir l'analyse de ton log http://www.hijackthis.de/logfiles/6e89c ... f183b.html

Je vais vérifier certaines lignes manuellement et à tout à l'heure.

Tchao :wink:

[Ne pas mettre un lien entre parenthèses inutiles sans laisser des espaces, sinon il n'est plus cliquable - Vazkor]
Image Image
XP Home SP2, Mozilla 1.7.3, NAV 2003, Kerio PF, Spybot S&D, SpywareGuard, SpywareBlaster, HijackThis 1.98.2, Ad-aware 6, ZEB-Protect ...
Avatar de l’utilisateur
Revan
 
Messages: 187
Inscription: 17 Juil 2004, 10:54
Localisation: Dijon

Messagede Jim Rakoto » 06 Sep 2004, 12:49

Salut,


Dans tes essais avec Spybot et Adaware SE, tu as bien nettoyé en mode sans échec et après avoir désactivé la restauration système ?

Pour mémoire :
redémarrer en mode sans échec : tapoter touche F8 au démarrage
restauration système : touche Windows(start) + touche Pause > Propriétés système > onglet restauration système et cocher la case : désactiver restauration système

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede bay » 06 Sep 2004, 13:10

Bonjour,à ce sujet, j'attends une confirmation d'un expert , mais pour moi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
soit disant Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. serait une erreur !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede le gromleux » 06 Sep 2004, 13:32

bonjour Bay,

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
soit disant Méchant Cette inscription doit obligatoirement être effacée par Hijackthis. serait une erreur !

Pour moi, cette alerte n'est effectivement pas justifiée; voici les constatations que j'ai pu faire :
D'origine, il y a un dossier "liens" ( au début ouvert sur : vide) dans le dossier "favoris" de windows ; si tu supprimes ce dossier "liens", alors apparaît la ligne ci-dessus dans HJT ; si tu fixes cette ligne puis redémarres, le dossier "liens" ( toujours ouvert sur : vide) réapparaît dans le dossier "favoris".
C'était "ma petite étude empirique personnelle" :wink:

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede nickW » 06 Sep 2004, 19:00

Bonsoir,
Voici des réponses selon la liste des startups de Pacman (sauf indication contraire):

Légende:
"Y" – Normalement, laissez les s'exécuter au démarrage
"N" – Pas nécessaire - typiquement ce sont des tâches utilisées rarement qui peuvent être lancées à la main si nécessaire
"U" – Au choix de l'utilisateur - cela dépend, selon que l'utilisateur estime que cela est nécessaire
"X" – Certainement pas utile - typiquement ce sont des virus, du spyware, de l'adware et des "dévoreurs de ressources"
"?" – Inconnu


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
X A virer

R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
X A virer (pas de fichier)

R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
X A virer (pas de fichier)

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
U SYSTRAY.EXE - SystemTray Services. Fournit des icônes pour le contrôle du volume, l'état de la carte PC, la gestion de l'alimentation, et d'autres icônes qui figurent dans la barre des tâches (voir ici). SYSTRAY.EXE peut être désactivé si aucun de ces services n'est requis. Il sera lancé dès que nécessaire si ultérieurement vous activez les icônes. Si vous avez besoin de ces éléments, ils sont disponibles via Démarrer -> Paramètres -> Panneau de configuration

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
N Planificateur d'application installé en même temps que RealOne Player. Une fois installé, il tourne indépendamment de RealOne Player. Voir ici (http://www.mikescomputerinfo.com/TkBellExe.htm) pour plus d'informations, avec la façon de le désactiver. Voir aussi evntsvc et Realsched. Notez que eventsvc.exe ne semble plus être dans une version récente. Pour désactiver "tkbell.exe" dans la nouvelle version (1) Lancez RealOne Player (2) Outils -> Préférences (3) Services automatiques dans le panneau Catégories (4) Décochez toutes les options puis OK
ou
N Planificateur d'application installé en même temps que RealOne Player. Tourne indépendamment de RealOne Player, pour rappeler à AutoUpdate et Message Center d'exécuter leurs tâches à des intervalles prédéfinis. Si vous ne pouvez pas le désactiver, essayez de supprimer ou de renommer realsched.exe puis supprimez la ligne dans le Registre


O4 - HKLM\..\Run: [PSDrvCheck] "c:\program files\pinnacle\edition 5\program\PSDrvCheck.exe" -CheckReg
Y Composant des logiciels de copie InstantCD/DVD et InstantCopy CD/DVD par Pinnacle Systems qui vérifie les paramètres du lecteur. Une fois chargé, il n'utilise aucune ressource, vous pouvez donc le laisser activé

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
Y Composant de InstantCD/DVD et InstantCopy CD/DVD par Pinnacle Systems, logiciels de copie, qui vérifie les réglages du lecteur. Une fois chargé il n'utilise aucune ressource donc vous pouvez le laisser activé

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
U Panneau de contrôle pour les séries ATI de cartes vidéo qui permet l'accès à des fonctions comme la résolution de l'affichage, la profondeur des couleurs, etc. Disponible via Démarrer -> Paramètres -> Panneau de configuration -> Affichage. Certains utilisateurs peuvent en avoir besoin s'ils ont optimisé leurs réglages

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
N Accès dans la Barre système à la visionneuse "Quick Time" par Apple depuis la version 5

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
Y Composant de Norton AntiVirus 2003 . Les fonctions auto-protect et vérification des courriers électroniques (emails) ne fonctionneront pas sans lui

O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
X Voir ici: http://www.pestpatrol.com/pest_info/fr/t/toprebates.asp

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
?? Pas trouvé de réponse claire à propos de son utilité. Donc le laisser

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
U CTFMon est impliqué dans les services d'entrée de language/alternative dans Office XP. CTFMON.exe va continuer à se remettre lui-même dans MSConfig lorsque vous lancez des applications Office XP tant que les applets Services Texte et Voix dans le Panneau de configuration sont activées. Non nécessaire si vous n'avez pas besoin de ces fonctions. Pour plus d'informations sur ctfmon voir ici. CTFMON peut être désactivé

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
N Utilitaire MSN Messenger. Si vous n'utilisez pas MSN Messenger, ça peut être casse-pieds. Disponible via Démarrer -> Programmes. Allez sur MS Messenger > Outils > Options > Préférences et décochez "Exécuter Messenger automatiquement à l'ouverture de ma session Windows" ("Run this program when Windows starts")

O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe
U D'après www.windowsstartup.com, this is the program that allows one to use the ATI Remote control that comes with ALL-IN-WONDER and other ATI vidio cards.

O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
Y a2 antitrojan

O4 - Startup: BHODemon 2.0.lnk = C:\Program Files\BHODemon 2\BHODemon.exe
U D'après www.windowsstartup.com, A program which detects and controls \"Browser Helper Objects\"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
N Dévoreur de ressources qui lance des composants usuels de MS Office pour aider à accélérer le lancement des programmes Office. Certains utilisateurs prétendent qu'il n'y a pas de différence avec ou sans, mais de toute façon il n'est pas nécessaire. Osa9.exe est la variante pour Office 2000/XP

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Ces deux lignes sont OK si installées via Spybot (deux verrouillages dans les ajustements IE)

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
?? Est-ce utile ?? Pour avoir "Exporter vers Microsoft Excel" dans le menu contextuel d'IE

O9 - Extra button: Voiceglo directory - {C9B8ABB6-1CC3-4957-9CA3-053036B2EE3A} - C:\WINDOWS\All users\Bureau\Glophone.lnk
?? OK si Glophone de Voiceglo installé et utilisé

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylom.servicesalacarte.wa ... loader.cab
Fixer tous ces O16 ActiveX mal identifiés et probablement tous inutiles. Si un programme en a besoin il réinstallera ce qu'il lui faut à la première occasion.

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD4FD8EB-F316-4EB7-ABE0-15E6B4758A62}: NameServer = 80.10.246.1 80.10.246.132
OK si serveurs DNS de ton FAI, voir ici: http://assiste.com.free.fr/p/internet_l ... te_dns.php

Tout ceci doit être fait
- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items"),
- après avoir désactivé la restauration système,
- en mode sans échec.
Puis redémarrer l'ordinateur.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet).

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Invité » 06 Sep 2004, 20:07

Tout d'abord un grand merci pour votre aide ! ca m'eclairci un peu :)

Il subsiste cependant un probleme, et comme je suis novice, j'ai encore besoin de vous

j'ai fixé ces 3 lignes (en plus d'autres) mais apres avoir repasser un scan par securité, je me suis apercu qu'elles etaient encore dans le log :cry:

R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

Je suis aller dans Config > Backup, elles y figure aussi... je comprend pas trop desolé...

Bien à vous, phenix :)
Invité
 

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 25 invités