Analyse de logs HiJackThis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Analyse de logs HiJackThis

Messagede mirabelle » 03 Oct 2004, 14:49

Bonjour,

Ci-dessous le résultat du scan.
Merci de bien vouloir l'analyser parce pour moi c'est totalement incompréhensible ... !!!

Logfile of HijackThis v1.98.2
Scan saved at 15:28:07, on 03/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Caere\OmniPagePro90\opware32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\OutClock-MARIE-PIERRE\OutClock.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\winlogon.exe
C:\Documents and Settings\MARIE-PIERRE\Mes documents\OFFICE One Zip\HijackThis19802.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nwhydvvfibhxheqbwiz.net/Gvxd ... 3u7vO.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D6C9BBAA-70DB-61D7-8E36-FD5A9CF8D35D} - C:\PROGRA~1\BOOKCL~1\Window64.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OmniPage] C:\Program Files\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Second intra] C:\PROGRA~1\32TEST~1\BORE TEAM JOY.exe
O4 - HKLM\..\Run: [Delete4procabout] C:\Documents and Settings\All Users\Application Data\rdr tray delete 4\PeakDelete.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/ ... rtutil.CAB
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/ ... 1/chat.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://encyclo.voila.fr/JS/tdserver.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b30149.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {366A2841-4D64-40EB-9D52-055D7C51AA28} (WoolooInstaller Class) - http://www.wooloo.com/download/exe/plugin/w_dwnld7.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3767692685
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b30149.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bu ... eRdxIE.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/ ... veData.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC808BE1-E16F-4815-A278-75E7169A4AAC}: NameServer = 212.151.136.242 130.244.127.170

Merci de m'expliquer ce qui ne va pas en termes simples parce que je ne suis pas douée !!!
@+
mirabelle
 

Messagede Kethryes » 05 Oct 2004, 17:17

Salut
Y a t-il un probleme ? si oui lequel ?

tu peux fixer :
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nwhydvvfibhxheqbwiz.net/Gvxd ... 3u7vO.html
O2 - BHO: (no name) - {D6C9BBAA-70DB-61D7-8E36-FD5A9CF8D35D} - C:\PROGRA~1\BOOKCL~1\Window64.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
Fixer toutes les lignes 016 (activesX) ils se réinstalleront si un programe en a besoin, les autres étant inutilles

Tu as installé Messenger plus, j'espère que tu as décoché la case acceptant le "sponsor" car c'est une grosse salope*** (le sponsor pas messenger... quoique c'est discutable)

@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Analyse de logs HiJackThis

Messagede mirabelle » 05 Oct 2004, 18:11

Bonjour,

Excuse-moi, je suis passée du forum Spybot à celui de logs HiJackThis en oubliant de préciser mon problème.
Ci-dessous je te mets un copier/coller de mon post paru sur le forum Spybot :

Bonsoir,

Dans la liste "Pages du Navigateur" il y a deux adresses qui me paraissent bizarres et en plus m'embêtent !!!

L'avant-dernière :

http://web.duxywqvqtftdzuafob.com ... etc...
En fait hier c'était une autre référence et il y a quelques jours encore une autre !!!
De plus Spybot Résident n'arrête pas d'ouvrir des fenêtres toutes les 30 secondes pour me signaler un changement que je refuse à chaque fois, mais ... il persiste à me le signaler.

La dernière :

http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

Je me demande si cette adresse ne correspondrait pas à la barre de recherche qui apparaît en bleu au bas de la page lors d'une connexion internet.

De plus il me semble qu'elle est apparue avec Messenger Plus! 3 de MSN Messenger 6.2

Est-il possible de supprimer ces deux lignes de la liste ? Si oui, comment faire ? (en termes simples et détaillés svp parce que je ne suis pas douée).

Ci-dessous un copier/coller des browser pages pour du même coup me dire si tout est ok pour les autres éléments.

Spybot - Search && Destroy browser pages report, 02/10/2004 21:24:06

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINDOWS\System32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.tele2.fr/startpage/adsl/fr/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
%SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
http://web.duxywqvqtftdzuafob.com/GvxdY ... 63u7vO.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

J'ai Windows XP Edition Familiale
Nous sommes quatre utilisateurs, tous administrateurs

Merci et à +
[[/color]

Concernant ta réponse : "tu peux fixer" alors là ... je ne sais pas faire :shock: Je débute et ne suis pas douée.... Peux-tu m'expliquer en termes simples et en tenant compte que je suis fâchée avec l'anglais qui est la langue parlée par HijackThis 1.98.0.2 !!!

Quant à Messenger Plus, si jai bien compris ce que ma fille m'a dit en installant MSN Messenger 6.2 elle avait accepté les sponsors, par contre pas pour Messenger Plus.

Voilà tu sais tout. Ah non j'oubliais la MAJ Windows faite après le scan :
03/10/2004 22:32:52 Allowed value "KB826939" (new data: "rundll32.exe apphelp.dll,ShimFlushCache") added in System Startup

Merci d'avoir eu le courage de lire jusqu'au bout !!!
@+
mirabelle
 

Messagede Kethryes » 06 Oct 2004, 13:31

Salut
Pour le sponsor de Messenger+ normalement SpybotSD le supprime bien.
Concernant ta réponse : "tu peux fixer" alors là ... je ne sais pas faire

Dans HijackThis tu coches les cases correspondant aux lignes que je t'ai dit de fixer et tu cliques sur "Fix checked". C'est pas plus compliqué :D
@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Analyse de logs HiJackThis

Messagede mirabelle » 06 Oct 2004, 17:44

Bonjour,

Effectivement ce n'était pas bien compliqué de fixer !!! :D

En même temps qu'il était demandé de fermer toutes les applications en cours pour que la "fixation" soit bien faite, Spybot s'est réveillé et a envoyé une fenêtre avec :

old data : http://www.nwhydvvfibhxheqbwiz.net/GvxdY
new data : http://ie.search.msn.com/{SUB_RFC1766}/s

que j'ai refusé "Deny change".

Voila, c'est fait.

Merci :D
mirabelle
 

Messagede le gromleux » 06 Oct 2004, 17:51

bonsoir Mirabelle,

à vérifier mais je crois qu'en faisant cela tu n'as pas permis de remplacer
ton old data : http://www.nwhydvvfibhxheqbwiz.net/GvxdY (c'est le fichier nuisible)
en new data : http://ie.search.msn.com/{SUB_RFC1766}/s
tu aurais dû "allow change", il me semble
vérifie sur ta machine

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Analyse de logs HiJackThis

Messagede mirabelle » 06 Oct 2004, 20:46

Bonsoir le gromleux,

Ca m'aurait étonnée que je ne fasse pas un "clic" plus ou moins malheureux ... !!!

Il semblerait que ce ne soit même pas empêcher de remplacer une adresse par une autre parce que dans Spybot - pages du navigateur il y a les deux adresses ...

Merci de me dire ce que je dois faire.
@+
mirabelle
 

Messagede le gromleux » 07 Oct 2004, 17:18

bonsoir Mirabelle,

redémarres en mode sans échec et "passe un coup" de tous les désinfectants que tu as (Spybot, AdAware,etc..) , refais un log HJT et fixes les lignes à fixer indiquées plus haut qui seraient toujours là
@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Analyse de logs HiJackThis

Messagede mirabelle » 07 Oct 2004, 19:20

Bonsoir le gromleux,

ok je vais passer les "désinfectants" en mode sans échec et te tiendrai au courant.

Merci et @+
mirabelle
 

Analyse de logs HiJackThis

Messagede mirabelle » 07 Oct 2004, 21:45

Bonsoir le gromleux,

Ca y est, j'ai passé les "désinfectants" :

AdAware a détecté 89 objets critiques et du coup les fichiers et pages internet qui s'étaient installés tout seul sont partis :
Casino Online - Computers - Games- Movie - Web Hosting
Computers - Cool Stuff - Internet - Online Gaming - Shopping Gifts - Travel

Ensuite Spybot n'a rien trouvé.

SpywareBlaster non plus.

J'ai refait un scan HiJackThis et j'ai fixé les lignes que je mets en rouge ci-dessous :

Logfile of HijackThis v1.98.2
Scan saved at 22:01:18, on 07/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\MARIE-PIERRE\Mes documents\OFFICE One Zip\Nouveau Dossier\HijackThis19802.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nwhydvvfibhxheqbwiz.net/Gvxd ... 3u7vO.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OmniPage] C:\Program Files\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Delete4procabout] C:\Documents and Settings\All Users\Application Data\rdr tray delete 4\PeakDelete.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe

Par contre j'avais Google Toolbar qui a disparu. J'aimerai bien la récupérer. Penses-tu que je puisse la réinstaller ? Si oui comment faire ?

Merci et @+
mirabelle
 

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 32 invités